刪除沖擊波和沖擊波克星病毒解決方案(2)

這一步很簡(jiǎn)單根據(jù)中聯(lián)綠盟給出的注冊(cè)表鍵值，直接從注冊(cè)表中刪除，該文件如下

save.reg Windows Registry Editor Version 5.00   
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch]  
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch]  

三、生成刪除沖擊波克星文件的Bat文件

save.bat  
 
@echo 'starting fix your system...' net stop RpcPatch net stop RpcTftpd del %systemroot%\system32\wins\svchost.exe del %systemroot%\system32\wins\dllhost.exe @echo 'that's ok!!'  

如果按照步驟執(zhí)行，以上的net stop兩句本來是多余的，但為了防止用戶不按順序操作，所以特意加上，就當(dāng)是最簡(jiǎn)單的容錯(cuò)吧。

四、生成不啟動(dòng)"阻止ICMP響應(yīng)"的reg文件

onicmp.reg  
 
Windows Registry Editor Version 5.00  
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Local\ActivePolicy] 

五、交付用戶使用

以上的文件都是文本格式，十分小巧，可以很簡(jiǎn)單地用一張軟盤帶走。所以win2k的用戶可以用以下的方式來進(jìn)行對(duì)沖擊波的防御/殺除/修復(fù)工作（以下操作說明是當(dāng)時(shí)天緣針對(duì)幾乎沒有什么電腦使用知識(shí)的網(wǎng)內(nèi)Win2000用戶而寫的，同行們看了請(qǐng)不要指責(zé)我說法不夠?qū)�業(yè)。粗體是當(dāng)時(shí)寫給用戶的操作說明；小字是我對(duì)每一步操作的解釋，原文中是沒有的）

1. 拔掉網(wǎng)線（注意：其實(shí)這步本來斷掉網(wǎng)絡(luò)連接就可以了，但是因?yàn)閷?shí)際中發(fā)現(xiàn)，讓用戶拔掉網(wǎng)線遠(yuǎn)比教他斷開網(wǎng)絡(luò)連接容易，因此就這樣咯）

2. 雙擊使用officmp.reg，把本機(jī)的ICMP響應(yīng)停掉；

3. 雙擊使用save.reg，把沖擊波從服務(wù)里清除 （注意：由于windows的機(jī)理是在Explorer.exe調(diào)用的時(shí)候和開機(jī)啟動(dòng)的時(shí)候才調(diào)用注冊(cè)表里的最新設(shè)置，因此其實(shí)2、3步對(duì)注冊(cè)表的修改設(shè)置必須要重新啟動(dòng)機(jī)器才能起到作用）

4. 重新啟動(dòng)系統(tǒng)

5. 雙擊使用save.bat，把沖擊波文件給干掉 （注意：之所以安排在這里，一是的確在確認(rèn)該病毒文件沒使用時(shí)才能用del命令殺除，另外一個(gè)原因就是利用用戶操作所花費(fèi)的時(shí)間，巧妙地把開機(jī)ip安全策略實(shí)施時(shí)會(huì)放行大概10個(gè)icmp的弊病回避開）

6. 插上網(wǎng)線，上網(wǎng)在xxxx地址下針對(duì)win2k的sp4補(bǔ)丁，和RPC漏洞補(bǔ)丁 （注意：如上所述，在這一步插上網(wǎng)線時(shí)，ip策略已經(jīng)被應(yīng)用，就不會(huì)產(chǎn)生有染毒機(jī)器發(fā)到本機(jī)的icmp被響應(yīng)的情況了，確保了安全）

7. 安裝sp4，并重新啟動(dòng)

8. 安裝RPC漏洞補(bǔ)丁，并重新啟動(dòng)系統(tǒng)

9. 雙擊使用onicmp.reg文件，打開本機(jī)的ICMP響應(yīng)；

經(jīng)過以上9步，利用reg文件和bat文件，很方便地解決了內(nèi)網(wǎng)中win2k用戶因?yàn)闆_擊波克星無法上網(wǎng)下載sp4補(bǔ)丁，而安裝RPC漏洞補(bǔ)丁又必須先裝上sp4（其實(shí)是sp2以上就夠了，但都是100多M的大家伙）這個(gè)"先有雞還是先有蛋"的死鎖問題。而且步驟簡(jiǎn)單，所以操作對(duì)用戶透明，只需要看好軟盤copy回去的文件名依照步驟進(jìn)行雙擊操作就行了。半天后，整個(gè)網(wǎng)絡(luò)清凈了。

沖擊波和沖擊波克星病毒解決方案總結(jié)：

記得在上一次的網(wǎng)管筆記中，我特別提到網(wǎng)管應(yīng)該熟悉操作系統(tǒng)的結(jié)構(gòu)和操作系統(tǒng)的內(nèi)部工具以及腳本語言。在這次的真實(shí)例子中，我們用到了哪些知識(shí)呢？本地安全策略的設(shè)置、本地安全設(shè)置在注冊(cè)表中的位置、如何在reg文件中刪除注冊(cè)表內(nèi)一個(gè)鍵值、注冊(cè)表設(shè)置的作用時(shí)間、如何寫簡(jiǎn)單的bat文件、如何閱讀利用國(guó)內(nèi)外組織的安全公告。網(wǎng)管不少時(shí)候就象救生員一樣，是在危機(jī)關(guān)頭必須盡快作出方案來解決問題，因此平時(shí)對(duì)知識(shí)細(xì)節(jié)的掌握就格外重要了。

一旦找到存活主機(jī)，就會(huì)嘗試用DCOM RPC溢出。溢出成功后監(jiān)聽本機(jī)隨機(jī)的一個(gè)小于1000的TCP端口，等待目標(biāo)主機(jī)回連，連接成功后首先發(fā)送"dir dllcache\tftpd.exe"和"dir wins\dllhost.exe"命令，根據(jù)返回字符串判斷目標(biāo)系統(tǒng)上是否有這兩個(gè)文件，如果目標(biāo)系統(tǒng)上有tftpd.exe文件，則"copy dllcache\tftpd.exe wins\svchost.exe"，如果沒有，就利用自己建立的tftp服務(wù)將文件傳過去。并根據(jù)tftp命令的返回判斷是否執(zhí)行成功，若成功，就執(zhí)行，不成功則退出。

沖擊波和沖擊波克星病毒的清除，你學(xué)會(huì)了嗎？只要按照如上所述的操作步驟進(jìn)行就可以了，相信你要認(rèn)真一定可以成功消滅沖擊波和沖擊波克星。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]