冲击波和冲击波克星感染主机问题解析

用注册表+批处理文件解决局越网内千台Win2k机器受冲击波/冲击波克星感染的问题分析如下：

对网络管理员来说，冲击波克星的危害尤大，因为每台中毒机器每秒发出上千个ICMP包，对接入/汇聚交换机来说很容易导致交换机被堵塞死。不幸的是，笔者所在学校的接入和汇聚交换机也被堵死了。

中病毒的用户也因为交换机的堵塞无法连接到指定内部的网站下载补丁和专杀文件，因此只有使用存储设备copy的方式来解决。XP/2003系统很方便，专杀工具和RPC补丁一张软盘就能copy给用户，但在Win2000系统那里遇到了麻烦–RPC漏洞补丁需要在已安装了SP2以上的Win2000中才可以运行，而众多用户由于一直以来不够重视补丁升级等计算机维护工作，没有在系统上打上SP2以上的Patch包，由于SP2以及后来的SP3、SP4每个都在100余M以上，无法通过软盘Copy,而学校总共有1000多个分散的节点使用了Win2000操作系统，靠网络中心的人力和物力购买大量USB闪盘或者刻录成光盘依次安装也不太现实。网络中心的电话铃声不断响起，用户的求援帮助不断增加，该如何办？

解铃还需系铃人，还是先研究一下病毒的传播特点以及各专杀工具/防御工具的实现原理吧，下面是一段关于手工清除病毒的做法：

1、安装好RPC补丁。

2、点击左下角的"开始"菜单，选择"运行"，在其中键入"cmd"，点击"确定"。这样就启动了命令提示符。在其中键入：

net stop RpcPatch  
 
net stop RpcTftpd 

3、删除%systemroot%\system32\wins\svchost.exe和%systemroot%\system32\wins\dllhost.exe。

4、点击左下角的"开始"菜单，选择"运行"，在其中键入"regedit"，点击"确定"。这样就启动注册表编辑器。在注册表中删除键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch  
 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd  
 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd  
 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch 

5、重新启动系统。

按照以上的方案就可以杀掉冲击波克星了，但由于涉及到注册表/命令行的操作，对我们业内人员来说容易，而校内大部分用户是教师和行政人员，操作起来难度太大，大多用户使用文件都只会双击启动。那么，有办法我们依照以上的原理自己写个小工具，想办法让用户通过双击就能应用了么？仔细分析一下，以上步骤中的第2、3步骤，通过bat文件就能很容易地做到；而第4点，通过一个reg文件也能够做到，难在***点：如我们刚才分析过的一样，如何给Win2000用户打上SP2补丁是一个大问题呢。

时间不断流逝着，我不断思考。根据我们的2、3步骤，其实我们已经把用户机器上的冲击波克星病毒成功杀除了。打补丁的作用是为了避免用户在连上网后遭遇再次感染–既然不能打上补丁，那么能否研究一下病毒的感染原理，通过配置windows自身的工具来实现对病毒判断的欺骗，让其无法进入呢？？试试看！

研究一下绿盟的紧急公告中的内容，发现有以下一段话：

蠕虫病毒选择目标IP地址的时候会首先选择受感染系统所在子网的IP，然后再按照一定算法随机在互连网上用ICMP扫描的方法寻找存活主机，发送的ICMP报文类型为echo，总大小为92字节，数据区为64字节的"0xAA"。由于发送的ICMP流量很大，可导致网络阻塞。这是蠕虫的主要危害。

明白了，病毒的感染方式是这样的：首先Ping所在子网的其他机器，如果有响应（这招跟不少嗅探软件和RedCode等病毒相似，为的是跳过没启动的机器以加快感染效率）则通过漏洞的端口进行文件上传并执行。

看来解决感染的方式有两个：1.关闭机器的ICMP响应（让用户的机器无法被Ping到，则该病毒就会认为该机没启动而不进行感染）；2.将机器上的tcp/udp 135,137,138,139全部关闭(漏洞所在端口和上传文件端口)；

通过对Windows2000的了解，我知道在本地安全策略->IP安全策略中可以成功实现对以上两种解决方案的支持。而且安全策略的配置文件同样是放在了注册表内，可以生成reg格式文件，让用户双击倒入的方式进行安装。恩，方法已经找到了。那么选择哪一个方法呢？让我们来考虑一下利弊吧。

1. 关闭机器的ICMP响应：

在IP安全策略中的支持很简单，添加一个filter和一个属性设置；不对网络共享及其他服务构成冲突；缺点在于他人无法通过ping命令确定该机器是否连网正常；而且在开机的瞬间，网络是先连接再实施策略，根据我的实验大概有10个icmp包能被响应。

2. 将机器上的tcp/udp 135,137,138,139全部关闭：

优点在于是从病毒的传播端口上防止病毒进入，防范安全性更高，且如果产生利用该漏洞的其他变种也能防御；缺点是会影响到网络邻居文件共享，设置起来比较麻烦。

综合考虑后，决定采用方案一，理由如下：不论方法1、2都是应急措施，并不是一劳永逸，目的是为了让Win2000的用户能够在杀毒后不再被感染和不成为病毒源，让用户能够连上网络可以尽快下载安装校内FTP上的SP4和RPC漏洞补丁，以***此漏洞。针对方案一的策略应用中一开始icmp有10个包能被反馈的特性情况，可以通过对操作步骤的合理安排，巧妙回避，令用户感觉不到（对用户透明）。

冲击波和冲击波克星感染主机问题的分析就结束了，那么这个问题该如何解决呢？请读者继续阅读：删除冲击波和冲击波克星病毒解决方案