|
二、生成刪除沖擊波克星在注冊表中設置的服務項的文件
這一步很簡單根據中聯(lián)綠盟給出的注冊表鍵值�����,直接從注冊表中刪除����,該文件如下
- save.reg Windows Registry Editor Version 5.00
- [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch]
-
- [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch]
三��、生成刪除沖擊波克星文件的Bat文件
- save.bat
-
- @echo 'starting fix your system...' net stop RpcPatch net stop RpcTftpd del %systemroot%\system32\wins\svchost.exe del %systemroot%\system32\wins\dllhost.exe @echo 'that's ok!!'
如果按照步驟執(zhí)行�����,以上的net stop兩句本來是多余的���,但為了防止用戶不按順序操作��,所以特意加上�����,就當是最簡單的容錯吧���。
四�����、生成不啟動"阻止ICMP響應"的reg文件
- onicmp.reg
-
- Windows Registry Editor Version 5.00
-
- [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Local\ActivePolicy]
五�、交付用戶使用
以上的文件都是文本格式���,十分小巧�,可以很簡單地用一張軟盤帶走���。所以win2k的用戶可以用以下的方式來進行對沖擊波的防御/殺除/修復工作(以下操作說明是當時天緣針對幾乎沒有什么電腦使用知識的網內Win2000用戶而寫的���,同行們看了請不要指責我說法不夠專業(yè)。粗體是當時寫給用戶的操作說明����;小字是我對每一步操作的解釋,原文中是沒有的)
1. 拔掉網線(注意:其實這步本來斷掉網絡連接就可以了����,但是因為實際中發(fā)現(xiàn),讓用戶拔掉網線遠比教他斷開網絡連接容易,因此就這樣咯)
2. 雙擊使用officmp.reg�,把本機的ICMP響應停掉;
3. 雙擊使用save.reg���,把沖擊波從服務里清除 (注意:由于windows的機理是在Explorer.exe調用的時候和開機啟動的時候才調用注冊表里的最新設置���,因此其實2、3步對注冊表的修改設置必須要重新啟動機器才能起到作用)
4. 重新啟動系統(tǒng)
5. 雙擊使用save.bat�����,把沖擊波文件給干掉 (注意:之所以安排在這里���,一是的確在確認該病毒文件沒使用時才能用del命令殺除,另外一個原因就是利用用戶操作所花費的時間�,巧妙地把開機ip安全策略實施時會放行大概10個icmp的弊病回避開)
6. 插上網線,上網在xxxx地址下針對win2k的sp4補丁���,和RPC漏洞補丁 (注意:如上所述��,在這一步插上網線時��,ip策略已經被應用�����,就不會產生有染毒機器發(fā)到本機的icmp被響應的情況了�����,確保了安全)
7. 安裝sp4�,并重新啟動
8. 安裝RPC漏洞補丁,并重新啟動系統(tǒng)
9. 雙擊使用onicmp.reg文件��,打開本機的ICMP響應�;
經過以上9步,利用reg文件和bat文件����,很方便地解決了內網中win2k用戶因為沖擊波克星無法上網下載sp4補丁,而安裝RPC漏洞補丁又必須先裝上sp4(其實是sp2以上就夠了���,但都是100多M的大家伙)這個"先有雞還是先有蛋"的死鎖問題�。而且步驟簡單�����,所以操作對用戶透明����,只需要看好軟盤copy回去的文件名依照步驟進行雙擊操作就行了�����。半天后���,整個網絡清凈了。
沖擊波和沖擊波克星病毒解決方案總結:
記得在上一次的網管筆記中��,我特別提到網管應該熟悉操作系統(tǒng)的結構和操作系統(tǒng)的內部工具以及腳本語言���。在這次的真實例子中���,我們用到了哪些知識呢?本地安全策略的設置�、本地安全設置在注冊表中的位置���、如何在reg文件中刪除注冊表內一個鍵值��、注冊表設置的作用時間�、如何寫簡單的bat文件��、如何閱讀利用國內外組織的安全公告。網管不少時候就象救生員一樣��,是在危機關頭必須盡快作出方案來解決問題��,因此平時對知識細節(jié)的掌握就格外重要了���。
一旦找到存活主機�����,就會嘗試用DCOM RPC溢出�����。溢出成功后監(jiān)聽本機隨機的一個小于1000的TCP端口�����,等待目標主機回連�����,連接成功后首先發(fā)送"dir dllcache\tftpd.exe"和"dir wins\dllhost.exe"命令�����,根據返回字符串判斷目標系統(tǒng)上是否有這兩個文件���,如果目標系統(tǒng)上有tftpd.exe文件�,則"copy dllcache\tftpd.exe wins\svchost.exe"��,如果沒有�����,就利用自己建立的tftp服務將文件傳過去�。并根據tftp命令的返回判斷是否執(zhí)行成功,若成功�����,就執(zhí)行�����,不成功則退出����。
沖擊波和沖擊波克星病毒的清除����,你學會了嗎��?只要按照如上所述的操作步驟進行就可以了����,相信你要認真一定可以成功消滅沖擊波和沖擊波克星��。
本文出自:億恩科技【www.allwellnessguide.com】
服務器租用/服務器托管中國五強�!虛擬主機域名注冊頂級提供商���!15年品質保障�����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
