冲击波和冲击波克星病毒感染分析的整体思路请阅读:冲击波和冲击波克星感染主机问题解析,那么这个思路清晰后,我们便着手开始实施解决。
一、 生成禁止ICMP包的IP安全策略,然后转成REG文件
首先当然还是设置IP安全策略了,文不如表,表不如图,我们还是边抓图边说吧。 开始-->程序-->管理工具-->本地安全策略 打开,之后,选到Ip安全策略,在本地机器,如图
在上面点右键,选择"创建IP安全策略",在弹出的窗口中选"下一步",然后根据我们的目的输入名称,描述部分可有可无
然后一直选"下一步",遇到警告那里选"是",最后会弹出属性编辑的窗口,如下图:]
新的安全策略已经添加上了,但是我们的过滤器还没有设置呢,点"添加",然后一直点"下一步"直到出现这个窗口
选"添加",然后在出来的窗口中如下设置
然后再选择"添加"(头昏没?坚持住,就快看到曙光了),接着选"下一步",在源地址那里选"任何IP地址",目的地址那里选"我的ip地址",协议那里选"ICMP",之后选"完成"。关闭"IP筛选器列表"窗口,回到"安全规则向导"窗口这里,选中我们刚刚设置的"ICMP包筛选器",然后点"下一步",出来一个"安全规则向导"窗口
在这里,选择"添加",然后在出来的窗口中,名称"阻止",然后下一步,选"阻止",然后回到上图,选中"阻止",接着点"下一步","完成","关闭"。回到"本地安全策略"窗口,在"禁止ICMP响应"上点右键,选"指派"就完成了。
好,让我们从其他机器来ping一下该机器试试,是不是已经无法ping通了?证明设置成功了。
恩!我们自己的确是把IP安全策略设置好了,但总不能让每个用户都这么麻烦地设置吧??联想到Windows的大多数系统工具的配置都保存在注册表中,那么是否IP安全策略也是如此呢?输入命令regedit,果然在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Local 这里找到了我们的策略设置。 将这个目录倒出为reg文件,取名为officmp.reg就完成了我们的第一步。
#p#
二、生成删除冲击波克星在注册表中设置的服务项的文件
这一步很简单根据中联绿盟给出的注册表键值,直接从注册表中删除,该文件如下
- save.reg Windows Registry Editor Version 5.00
- [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch]
- [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch]
三、生成删除冲击波克星文件的Bat文件
- save.bat
- @echo 'starting fix your system...' net stop RpcPatch net stop RpcTftpd del %systemroot%\system32\wins\svchost.exe del %systemroot%\system32\wins\dllhost.exe @echo 'that's ok!!'
如果按照步骤执行,以上的net stop两句本来是多余的,但为了防止用户不按顺序操作,所以特意加上,就当是最简单的容错吧。
四、生成不启动"阻止ICMP响应"的reg文件
- onicmp.reg
- Windows Registry Editor Version 5.00
- [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Local\ActivePolicy]
五、交付用户使用
以上的文件都是文本格式,十分小巧,可以很简单地用一张软盘带走。所以win2k的用户可以用以下的方式来进行对冲击波的防御/杀除/修复工作(以下操作说明是当时天缘针对几乎没有什么电脑使用知识的网内Win2000用户而写的,同行们看了请不要指责我说法不够专业。粗体是当时写给用户的操作说明;小字是我对每一步操作的解释,原文中是没有的)
1. 拔掉网线(注意:其实这步本来断掉网络连接就可以了,但是因为实际中发现,让用户拔掉网线远比教他断开网络连接容易,因此就这样咯)
2. 双击使用officmp.reg,把本机的ICMP响应停掉;
3. 双击使用save.reg,把冲击波从服务里清除 (注意:由于windows的机理是在Explorer.exe调用的时候和开机启动的时候才调用注册表里的最新设置,因此其实2、3步对注册表的修改设置必须要重新启动机器才能起到作用)
4. 重新启动系统
5. 双击使用save.bat,把冲击波文件给干掉 (注意:之所以安排在这里,一是的确在确认该病毒文件没使用时才能用del命令杀除,另外一个原因就是利用用户操作所花费的时间,巧妙地把开机ip安全策略实施时会放行大概10个icmp的弊病回避开)
6. 插上网线,上网在xxxx地址下针对win2k的sp4补丁,和RPC漏洞补丁 (注意:如上所述,在这一步插上网线时,ip策略已经被应用,就不会产生有染毒机器发到本机的icmp被响应的情况了,确保了安全)
7. 安装sp4,并重新启动
8. 安装RPC漏洞补丁,并重新启动系统
9. 双击使用onicmp.reg文件,打开本机的ICMP响应;
经过以上9步,利用reg文件和bat文件,很方便地解决了内网中win2k用户因为冲击波克星无法上网下载sp4补丁,而安装RPC漏洞补丁又必须先装上sp4(其实是sp2以上就够了,但都是100多M的大家伙)这个"先有鸡还是先有蛋"的死锁问题。而且步骤简单,所以操作对用户透明,只需要看好软盘copy回去的文件名依照步骤进行双击操作就行了。半天后,整个网络清净了。
冲击波和冲击波克星病毒解决方案总结:
记得在上一次的网管笔记中,我特别提到网管应该熟悉操作系统的结构和操作系统的内部工具以及脚本语言。在这次的真实例子中,我们用到了哪些知识呢?本地安全策略的设置、本地安全设置在注册表中的位置、如何在reg文件中删除注册表内一个键值、注册表设置的作用时间、如何写简单的bat文件、如何阅读利用国内外组织的安全公告。网管不少时候就象救生员一样,是在危机关头必须尽快作出方案来解决问题,因此平时对知识细节的掌握就格外重要了。
一旦找到存活主机,就会尝试用DCOM RPC溢出。溢出成功后监听本机随机的一个小于1000的TCP端口,等待目标主机回连,连接成功后首先发送"dir dllcache\tftpd.exe"和"dir wins\dllhost.exe"命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,则"copy dllcache\tftpd.exe wins\svchost.exe",如果没有,就利用自己建立的tftp服务将文件传过去。并根据tftp命令的返回判断是否执行成功,若成功,就执行,不成功则退出。
冲击波和冲击波克星病毒的清除,你学会了吗?只要按照如上所述的操作步骤进行就可以了,相信你要认真一定可以成功消灭冲击波和冲击波克星。
【编辑推荐】
