冲击波和冲击波克星感染主机问题分析
发布时间:2022-04-26 10:27:31 所属栏目:安全 来源:互联网
导读:用注册表+批处理文件解决局越网内千台Win2k机器受冲击波/冲击波克星感染的问题分析如下: 解铃还需系铃人,还是先研究一下病毒的传播特点以及各专杀工具/防御工具的实现原理吧,下面是一段关于手工清除病毒的做法: 1、安装好RPC补
|
用注册表+批处理文件解决局越网内千台Win2k机器受冲击波/冲击波克星感染的问题分析如下: 解铃还需系铃人,还是先研究一下病毒的传播特点以及各专杀工具/防御工具的实现原理吧,下面是一段关于手工清除病毒的做法: 1、安装好RPC补丁。 2、 点击左下角的"开始"菜单,选择"运行",在其中键入"regedit",点击"确定"。这样就启动注册表编辑器。在注册表中删除键: 复制 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesRpcTftpd HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesRpcPatch 5、重新启动系统。 按照以上的方案就可以杀掉冲击波克星了,但由于涉及到注册表/命令行的操作,对我们业内人员来说容易,而校内大部分用户是教师和行政人员,操作起来难度太大,大多用户使用文件都只会双击启动。那么,有办法我们依照以上的原理自己写个小工具,想办法让用户通过双击就能应用了么?仔细分析一下,以上步骤中的第2、3步骤,通过bat文件就能很容易地做到;而第4点,通过一个reg文件也能够做到,难在***点:如我们刚才分析过的一样,如何给Win2000用户打上SP2补丁是一个大问题呢。 蠕虫病毒选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上用ICMP扫描的方法寻找存活主机,发送的ICMP报文类型为echo,总大小为92字节,数据区为64字节的"0xAA"。由于发送的ICMP流量很大,可导致网络阻塞。这是蠕虫的主要危害。 明白了,病毒的感染方式是这样的:首先Ping所在子网的其他机器,如果有响应(这招跟不少嗅探软件和RedCode等病毒相似,为的是跳过没启动的机器以加快感染效率)则通过漏洞的端口进行文件上传并执行。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐