沖擊波和沖擊波克星感染主機問題解析

對網(wǎng)絡管理員來說，沖擊波克星的危害尤大，因為每臺中毒機器每秒發(fā)出上千個ICMP包，對接入/匯聚交換機來說很容易導致交換機被堵塞死。不幸的是，筆者所在學校的接入和匯聚交換機也被堵死了。

中病毒的用戶也因為交換機的堵塞無法連接到指定內(nèi)部的網(wǎng)站下載補丁和專殺文件，因此只有使用存儲設備copy的方式來解決。XP/2003系統(tǒng)很方便，專殺工具和RPC補丁一張軟盤就能copy給用戶，但在Win2000系統(tǒng)那里遇到了麻煩--RPC漏洞補丁需要在已安裝了SP2以上的Win2000中才可以運行，而眾多用戶由于一直以來不夠重視補丁升級等計算機維護工作，沒有在系統(tǒng)上打上SP2以上的Patch包，由于SP2以及后來的SP3、SP4每個都在100余M以上，無法通過軟盤Copy,而學校總共有1000多個分散的節(jié)點使用了Win2000操作系統(tǒng)，靠網(wǎng)絡中心的人力和物力購買大量USB閃盤或者刻錄成光盤依次安裝也不太現(xiàn)實。網(wǎng)絡中心的電話鈴聲不斷響起，用戶的求援幫助不斷增加，該如何辦？

解鈴還需系鈴人，還是先研究一下病毒的傳播特點以及各專殺工具/防御工具的實現(xiàn)原理吧，下面是一段關于手工清除病毒的做法：

1、安裝好RPC補丁。

2、點擊左下角的"開始"菜單，選擇"運行"，在其中鍵入"cmd"，點擊"確定"。這樣就啟動了命令提示符。在其中鍵入：

net stop RpcPatch  
 
net stop RpcTftpd 

3、刪除%systemroot%\system32\wins\svchost.exe和%systemroot%\system32\wins\dllhost.exe。

4、點擊左下角的"開始"菜單，選擇"運行"，在其中鍵入"regedit"，點擊"確定"。這樣就啟動注冊表編輯器。在注冊表中刪除鍵：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch  
 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd  
 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd  
 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch 

5、重新啟動系統(tǒng)。

按照以上的方案就可以殺掉沖擊波克星了，但由于涉及到注冊表/命令行的操作，對我們業(yè)內(nèi)人員來說容易，而校內(nèi)大部分用戶是教師和行政人員，操作起來難度太大，大多用戶使用文件都只會雙擊啟動。那么，有辦法我們依照以上的原理自己寫個小工具，想辦法讓用戶通過雙擊就能應用了么？仔細分析一下，以上步驟中的第2、3步驟，通過bat文件就能很容易地做到；而第4點，通過一個reg文件也能夠做到，難在第一點：如我們剛才分析過的一樣，如何給Win2000用戶打上SP2補丁是一個大問題呢。

時間不斷流逝著，我不斷思考。根據(jù)我們的2、3步驟，其實我們已經(jīng)把用戶機器上的沖擊波克星病毒成功殺除了。打補丁的作用是為了避免用戶在連上網(wǎng)后遭遇再次感染--既然不能打上補丁，那么能否研究一下病毒的感染原理，通過配置windows自身的工具來實現(xiàn)對病毒判斷的欺騙，讓其無法進入呢？？試試看！

研究一下綠盟的緊急公告中的內(nèi)容，發(fā)現(xiàn)有以下一段話：

蠕蟲病毒選擇目標IP地址的時候會首先選擇受感染系統(tǒng)所在子網(wǎng)的IP，然后再按照一定算法隨機在互連網(wǎng)上用ICMP掃描的方法尋找存活主機，發(fā)送的ICMP報文類型為echo，總大小為92字節(jié)，數(shù)據(jù)區(qū)為64字節(jié)的"0xAA"。由于發(fā)送的ICMP流量很大，可導致網(wǎng)絡阻塞。這是蠕蟲的主要危害。

明白了，病毒的感染方式是這樣的：首先Ping所在子網(wǎng)的其他機器，如果有響應（這招跟不少嗅探軟件和RedCode等病毒相似，為的是跳過沒啟動的機器以加快感染效率）則通過漏洞的端口進行文件上傳并執(zhí)行。

看來解決感染的方式有兩個：1.關閉機器的ICMP響應（讓用戶的機器無法被Ping到，則該病毒就會認為該機沒啟動而不進行感染）；2.將機器上的tcp/udp 135,137,138,139全部關閉(漏洞所在端口和上傳文件端口)；

通過對Windows2000的了解，我知道在本地安全策略->IP安全策略中可以成功實現(xiàn)對以上兩種解決方案的支持。而且安全策略的配置文件同樣是放在了注冊表內(nèi)，可以生成reg格式文件，讓用戶雙擊倒入的方式進行安裝。恩，方法已經(jīng)找到了。那么選擇哪一個方法呢？讓我們來考慮一下利弊吧。

1. 關閉機器的ICMP響應：

在IP安全策略中的支持很簡單，添加一個filter和一個屬性設置；不對網(wǎng)絡共享及其他服務構成沖突；缺點在于他人無法通過ping命令確定該機器是否連網(wǎng)正常；而且在開機的瞬間，網(wǎng)絡是先連接再實施策略，根據(jù)我的實驗大概有10個icmp包能被響應。

2. 將機器上的tcp/udp 135,137,138,139全部關閉：

優(yōu)點在于是從病毒的傳播端口上防止病毒進入，防范安全性更高，且如果產(chǎn)生利用該漏洞的其他變種也能防御；缺點是會影響到網(wǎng)絡鄰居文件共享，設置起來比較麻煩。

綜合考慮后，決定采用方案一，理由如下：不論方法1、2都是應急措施，并不是一勞永逸，目的是為了讓Win2000的用戶能夠在殺毒后不再被感染和不成為病毒源，讓用戶能夠連上網(wǎng)絡可以盡快下載安裝校內(nèi)FTP上的SP4和RPC漏洞補丁，以根治此漏洞。針對方案一的策略應用中一開始icmp有10個包能被反饋的特性情況，可以通過對操作步驟的合理安排，巧妙回避，令用戶感覺不到（對用戶透明）。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]