冲击波病毒的特点:
1、利用RPC漏洞传播:冲击波病毒通过微软RPC(远程过程调用)漏洞传播,主要攻击未安装安全补丁的Windows 2000、XP及Server 2003系统。
2、自复制与持久化:病毒运行后将自身复制到系统目录(如C:Windows),命名为msblast.exe,并通过修改注册表(HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun)添加自启动项,确保每次系统启动时自动运行。
3、互斥量与进程隐藏:病毒创建名为“BILLY”的互斥量,避免重复加载;同时在内存中建立“msblast.exe”进程,隐藏自身活动。
4、网络攻击与传播:病毒每20秒检测网络状态,通过UDP/69端口建立TFTP服务器,随机生成IP地址攻击目标计算机的TCP/135端口。攻击成功后,监听TCP/4444端口作为后门,并绑定cmd.exe,实现远程控制。
5、拒绝服务攻击:若系统日期为8月15日后,病毒会向微软更新站点(windowsupdate.com)发动拒绝服务攻击,导致用户无法下载补丁。

中毒表现:
1、系统崩溃与重启:感染后系统资源被大量占用,RPC服务终止,弹出错误对话框,计算机反复重启。
2、功能异常:无法收发邮件、复制文件、浏览网页,DNS和IIS服务被非法拒绝。
3、倒计时关机:开机时显示“60秒后关机”的警告,是冲击波病毒的典型特征。
4、子网优先攻击:病毒优先扫描本地子网IP,导致局域网内计算机集中感染。
清除方法:
1、手工清除:
防范建议:及时安装系统补丁,关闭不必要的RPC服务,定期更新杀毒软件,避免使用未打补丁的系统访问不可信网络。
