一、冲击波(Worm.Blaster)病毒档案

　　警惕程度：★★★★

　　发作时间：随机病毒

　　类型：蠕虫病毒

　　传播途径：网络/RPC漏洞

　　依赖系统: WINDOWS 2000/XP

　　病毒介绍：

　　该病毒于8月12日被全球反病毒监测网截获。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。在8月16日以后，该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。

　　二、安装微软最新RPC补丁：

　　病毒通过微软的最新RPC漏洞进行传播，因此用户应先给系统打上RPC补丁，补丁地址：

　　Windows NT 4.0 Server

　　Windows NT 4.0 Terminal Server Edition

　　Windows 2000中文版

　　Windows 2000英文版

　　Windows XP 32位英文版本

　　Windows XP 32位中文版本

　　Windows XP 64位版本

　　Windows Server 2003 32位版本

　　Windows Server 2003 64位版本

　　说明：可能个别盗版Windows XP系统不能正常打上补丁，Windows 2000操作系统必须升级SP2以上版本才可安装补丁。

　　微软官方相关参考

　　三、新潮科技建议用户为您的系统打上安全补丁！(注意：部分使用翻版WINDOWS系统的用户可能会打不上安全补丁，请为别的网友着想，请使用单线程工具下载)

　　Windows 2000 SP2中文版

　　Windows 2000 SP4中文版

　　Windows 2000 SP4英文版

　　Windows xp sp1 中文版

　　四、病毒的发现与清除：

　　1.病毒运行时会建立一个名为：“BILLY”的互斥量，使病毒自身不重复进入内存，并且病毒在内存中建立一个名为：“msblast”的进程，用户可以用任务管理器将该病毒进程终止。

　　2.病毒运行时会将自身复制为：%systemdir%msblast.exe,用户可以手动删除该病毒文件。

　　注意：%Windir%是一个变量，它指的是操作系统安装目录，默认是：“C:Windows”或：“c:Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量，它指的是操作系统安装目录中的系统目录，默认是：“C:Windowssystem”或：“c:Winntsystem32”。

　　3.病毒会修改注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项，在其中加入："windows auto update"="msblast.exe"，进行自启动，用户可以手工清除该键值。

　　4.病毒会用到135、4444、69等端口，用户可以使用防火墙软件将这些端口禁止或者使用“TCP/IP筛选”功能，禁止这些端口。

　　用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了冲击波(Worm.Blaster)病毒。为避免用户遭受损失，瑞星公司和金山公司都提供了最新查杀工具，用户可马上下载，查杀该病毒。

　　五、查杀冲击波工具

　　瑞星“冲击波(Worm.Blaster)”病毒专杀工具

　　金山“冲击波(Worm.Blaster)”病毒专杀工具