注册表 批处理文件解决局越网千台Win2k冲击波/冲击波克星感染的问题分析如下:
对于网络管理员来说,冲击波克星的危害特别大,因为每台中毒机每秒发出数千台ICMP包,接入/汇聚交换机容易堵塞交换机。不幸的是,作者学校的接入和汇聚交换机也被堵塞。
由于交换机堵塞,中病毒用户无法连接到指定内部网站下载补丁和杀戮文件,因此只能使用存储设备copy解决方法。XP/2003系统非常方便,专杀工具和RPC补丁一张软盘就能copy但是在Win2000系统有麻烦--RPC已安装漏洞补丁时,需要安装漏洞补丁SP2以上的Win2000只能在中间运行,但很多用户对补丁升级等计算机维护一直不够重视,没有在系统上玩SP2以上的Patch包,由于SP2以及后来的SP3、SP4每个都在100余M以上,不能通过软盘Copy,学校使用了1000多个分散的节点Win2000操作系统,通过网络中心的人力物力购买大量USB依次安装闪盘或刻录成光盘是不现实的。网络中心的电话铃声不断响起,用户的帮助也不断增加。我该怎么办?
解铃还需要系铃人。让我们先研究一下病毒的传播特点和各种杀戮工具/防御工具的实现原理。以下是手动清除病毒的方法:
1、安装好RPC补丁。
2、点击左下角"开始"菜单,选择"运行",在其中键入"cmd",点击"确定"。这就启动了命令提示符。其中键入:
3、删除%systemroot%\system32\wins\svchost.exe和%systemroot%\system32\wins\dllhost.exe。
4、点击左下角"开始"菜单,选择"运行",在其中键入"regedit",点击"确定"。这样注册表编辑器。删除注册表中的键:
5、重新启动系统。
根据上述计划,冲击波克星可以被杀死,但由于涉及到注册表/命令行的操作,这对我们的行业人员来说很容易。学校里的大多数用户都是教师和行政人员。操作起来太难了。大多数用户只使用双击文件启动。那么,我们有办法根据上述原则写一个小工具,并找到让用户通过双击应用的方法吗?仔细分析上述步骤中的第二步和第三步bat文件很容易做到;第四点,通过一个reg也可以做文件,难点***点:就像我们刚才分析过的,怎么给?Win2000用户打上SP2补丁是个大问题。
随着时间的推移,我一直在思考。根据我们的2或3个步骤,我们已经成功地杀死了用户机器上的波克星病毒。补丁的作用是避免用户在连接到互联网后再次感染--既然不能补丁,可以通过配置来研究病毒的感染原理吗?windows自己的工具欺骗病毒判断,让它无法进入?!
研究绿盟紧急公告的内容,发现有以下段落:
选择蠕虫病毒的目标IP地址的时候会首先选择受感染系统所在子网的IP,然后按照一定的算法在互联网上随机使用ICMP搜索生存主机并发送扫描方法ICMP报文类型为echo,总尺寸为92字节,数据区为64字节"0xAA"。由于发送的ICMP流量大,会导致网络堵塞。这是蠕虫的主要危害。
我明白病毒的感染方式是这样的:首先,Ping如果子网的其他机器有响应(这个动作与许多嗅探软件和RedCode当病毒相似时,为了跳过未启动的机器以加快感染效率),文件将通过漏洞端口上传并执行。
似乎有两种方法可以解决感染:1.关闭机器的ICMP响应(阻止用户的机器Ping到了,病毒会认为机器没有启动而没有感染);2.将机器上的tcp/udp 135、137、138、139全部关闭(漏洞所在端口和上传文件端口);
通过对Windows2000了解当地的安全策略,我知道->IP对上述两种解决方案的支持可以在安全策略中成功实现。而且安全策略的配置文件也放在登记表中,可以生成reg格式文件,让用户双击倒入安装。嗯,找到了方法。那么选择哪种方法呢?让我们考虑一下利弊。
1. 关机ICMP响应:
在IP安全策略中的支持很简单,添加一个filter与属性设置;不与网络共享等服务发生冲突;缺点是他人不能通过ping命令确定机器是否连接正常;此外,在启动时,网络在实施策略之前是连接的。根据我的实验,大约有10个icmp包可以响应。
2. 机器上的tcp/udp 135、137、138、139全部关闭:
优点是防止病毒从病毒传播端口进入,防止更高的安全性,如果使用漏洞的其他变体也可以防止;缺点是会影响网络邻居文件的共享,设置麻烦。
经过综合考虑,决定采用方案,原因如下:方法1、2是应急措施,不是一劳永逸,目的是让Win2000杀毒后,用户不能再被感染,也不能成为病毒源,这样用户就可以尽快下载并安装在校园里FTP上的SP4和RPC漏洞补丁,以***这个漏洞。在方案一战略应用的开始icmp通过合理安排操作步骤,巧妙回避10个包可以反馈的特点,让用户感觉不到(对用户透明)。
冲击波和冲击波克星感染主机的分析已经结束,那么如何解决这个问题呢?请继续阅读:删除冲击波和冲击波克星病毒解决方案
【编辑推荐】