冲击波VI（Worm.Blaster.F）病毒档案

冲击波VI（Worm.Blaster.F）病毒档案
警惕程度：★★★★★
发作时间：随机
病毒类型：蠕虫病毒
传播途径：网络/RPC漏洞
依赖系统: WINDOWS NT/2000/XP
病毒介绍：
9月2日，瑞星全球反病毒监测网国内率先截获了冲击波病毒的第六个变种--冲击波VI（Worm.Blaster.F）。该变种的病毒代码与“冲击波V”大体相同，只是个别代码有变化，因此瑞星杀毒软件无需升级就可以自动拦截并查杀。
据瑞星反病毒工程师分析，该病毒变种并不是“冲击波”病毒作者本人编写的，而是一些好事者为了让冲击波继续泛滥而进行改写的，因此没有给系统打上安全补丁的用户应立刻去微软网站（www.microsoft.com/china/）安装相应的安全补丁。
该病毒和前三个变种病毒一样，没有在原始病毒上做大的改动，传染和破坏能力与"冲击波"病毒相同。作者将病毒体内的字符更换为：“What You Should Know About the Blaster Worm and Its Variants.（你应该了解冲击波蠕虫及其变种）”，将病毒体换为：“enbiei.exe”，将病毒键值换为：“"www.hidro.4t.com "="enbiei.exe"”，将攻击的网站换为：“tuiasi.ro”，手中没有杀毒软件的用户应注意根据这些特征进行手工清除病毒。
病毒的发现与清除：
1. 病毒通过微软的最新RPC漏洞进行传播，因此用户应先给系统打上RPC补丁。
2. 病毒会在内存中建立一个名为：“enbiei.exe”的进程，用户可以用任务管理器将该病毒进程终止。
3. 病毒运行时会将自身复制为：%systemdir%\ enbiei.exe,用户可以手动删除该病毒文件。
注意：%Windir%是一个变量，它指的是操作系统安装目录，默认是：“C:\Windows”或：“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量，它指的是操作系统安装目录中的系统目录，默认是：“C:\Windows\system”或：“c:\Winnt\system32”。
4. 病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项，在其中加入：“www.hidro.4t.com=enbiei.exe”，进行自启动，用户可以手工清除该键值。
5. 病毒会用到tcp/135、udp/69等端口，用户可以使用防火墙软件将这些端口禁止。
6. 病毒体内存在有以下内容的字符串：“What You Should Know About the Blaster Worm and Its Variants.（你应该了解冲击波蠕虫及其变种）”。
7. 病毒运行时会对“tuiasi.ro”网站发起SYN洪水攻击。
用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了冲击波VI（Worm.Blaster.F）病毒。由瑞星公司对“冲击波”系列病毒的查杀代码进行了优化，用户无需升级手中的软件即可查杀该病毒。瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”，这三款产品每周三次同步升级，15.48.10版已可清除此病毒，目前瑞星用户只需升级到该版本即可彻底拦截此病毒。
如遇到异常情况，可拨打瑞星反病毒急救电话：010-82678800和瑞星紧急救援小组上门服务热线（限北京地区）：010-82678866-552或使用瑞星在线杀毒：http://online.rising.com.cn，瑞星反病毒专家将为您提供全方位的技术支持与服务！

瑞星反病毒专家的安全建议：
1. 建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。
2. 关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。
3. 经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象红色代码、尼姆达等病毒，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。
4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。
5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。
6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏：如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。
7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、遇到问题要上报， 这样才能真正保障计算机的安全。