Virus 版 (精华区)

发信人: zyw (秋风), 信区: Virus
标  题: 新病毒警告：金山毒霸截获"冲击波"最新变种 
发信站: 哈工大紫丁香 (2003年09月03日08:36:36 星期三), 站内信件

:新病毒警告：金山毒霸截获"冲击波"最新变种 
http://www.duba.net 　(2003-09-01 16:27)　　文章来源：金山毒霸安全资讯网 
  
　　 金山毒霸(duba.net)报导：金山毒霸反病毒应急中心截获“冲击波”最新变种，
命名为Worm.msBlast.e。此次变种使用前几次变种同样的方式——采用修改自己的文
件名和内部字符串的方式企图躲过反病毒软件的查杀，因此，使用以前的防御方式就
可以防止该病毒的入侵。
　　据金山反病毒工程师介绍：此次变种仍然使用RPC漏洞进行传播，只是被人为的
更改了内部的一些特征字符串，改动最大的是以下几点：
　　１．将病毒体内原讽刺微软的语句改为：
I dedicate this particular strain to me ANG3L - hope yer enjoying yerself 
and dont forget the promise for me B/DAY !!!!　
　　２．互斥体"BILLY"改为"SILLY"；
　　３．将对"windowsupdate.com"进行拒绝服务攻击（Dos）改为对"kimble.org"
进行拒绝服务攻击（Dos）；
　　４．注册表中启动项添加的键值改为
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　"Windows Automation" = "mslaugh.exe"
　　金山反病毒工程师提醒：该病毒对已经打过补丁的系统不再能造成危害，但对未打
补丁的系统危害仍然是严重的，请各位网络用户留意查看自己的系统是否打上了最新的
补丁，新装机的用户一定要打上最新的补丁，以避免该病毒的危害。
　　查看是否打上补丁的方法：
　　根据微软的定义，这个安全修补程序的代号为kb823980，我们要检查的就是这一项。

　　 打开注册表编辑器。不知道怎么打开？在开始菜单上执行“运行”命令，输入
“regedit”(不要引号)。
　　 在注册表编辑器的窗口里又分左右两个窗格，我们先看左窗格。这个东西和资源
管理器是非常相像的，只不过它有一些类似HKEY_。。。这样的条目，我们只看
HKEY_LOCAL_MACHINE这一条。
　　 展开这一条，找到里面的SOFTWARE，然后再展开，找到Microsoft，再展开，依次分
别：
　　 1、对于WindowsNT4.0： 找到 Updates，Windows NT， SP6，看看里面有没有kb823
980
　　2、对于Windows2000： 找到 Updates，Windows 2000，SP5，看看里面有没有kb8239
80
　　3、对于WindowsXP： 找到 Updates，Windows XP， SP1，看看里面有没有kb823980
　　4、对于WindowsXP SP1：找到 Updates，Windows XP， SP2，看看里面有没有kb8239
80
　　如果找到，那就说明已经打上补丁。否则请再打一次补丁了。

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 210.46.72.9]