沖擊波和沖擊波克星病毒感染分析的整體思路請(qǐng)閱讀：沖擊波和沖擊波克星感染主機(jī)問題解析，那么這個(gè)思路清晰后，我們便著手開始實(shí)施解決。

一、 生成禁止ICMP包的IP安全策略,然后轉(zhuǎn)成REG文件

首先當(dāng)然還是設(shè)置IP安全策略了，文不如表，表不如圖，我們還是邊抓圖邊說(shuō)吧。 開始-->程序-->管理工具-->本地安全策略 打開，之后，選到Ip安全策略，在本地機(jī)器，如圖

在上面點(diǎn)右鍵，選擇"創(chuàng)建IP安全策略",在彈出的窗口中選"下一步"，然后根據(jù)我們的目的輸入名稱,描述部分可有可無(wú)

然后一直選"下一步"，遇到警告那里選"是"，最后會(huì)彈出屬性編輯的窗口，如下圖：］

新的安全策略已經(jīng)添加上了，但是我們的過濾器還沒有設(shè)置呢，點(diǎn)"添加"，然后一直點(diǎn)"下一步"直到出現(xiàn)這個(gè)窗口

選"添加"，然后在出來(lái)的窗口中如下設(shè)置

然后再選擇"添加"（頭昏沒？堅(jiān)持住，就快看到曙光了），接著選"下一步"，在源地址那里選"任何IP地址"，目的地址那里選"我的ip地址"，協(xié)議那里選"ICMP"，之后選"完成"。關(guān)閉"IP篩選器列表"窗口，回到"安全規(guī)則向?qū)?quot;窗口這里，選中我們剛剛設(shè)置的"ICMP包篩選器"，然后點(diǎn)"下一步"，出來(lái)一個(gè)"安全規(guī)則向?qū)?quot;窗口

在這里，選擇"添加",然后在出來(lái)的窗口中，名稱"阻止"，然后下一步，選"阻止"，然后回到上圖，選中"阻止"，接著點(diǎn)"下一步"，"完成"，"關(guān)閉"?；氐?quot;本地安全策略"窗口，在"禁止ICMP響應(yīng)"上點(diǎn)右鍵，選"指派"就完成了。

好，讓我們從其他機(jī)器來(lái)ping一下該機(jī)器試試，是不是已經(jīng)無(wú)法ping通了？證明設(shè)置成功了。

恩!我們自己的確是把IP安全策略設(shè)置好了，但總不能讓每個(gè)用戶都這么麻煩地設(shè)置吧？？聯(lián)想到Windows的大多數(shù)系統(tǒng)工具的配置都保存在注冊(cè)表中，那么是否IP安全策略也是如此呢？輸入命令regedit,果然在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Local 這里找到了我們的策略設(shè)置。 將這個(gè)目錄倒出為reg文件，取名為officmp.reg就完成了我們的第一步。

#p#

二、生成刪除沖擊波克星在注冊(cè)表中設(shè)置的服務(wù)項(xiàng)的文件

這一步很簡(jiǎn)單根據(jù)中聯(lián)綠盟給出的注冊(cè)表鍵值，直接從注冊(cè)表中刪除，該文件如下

save.reg Windows Registry Editor Version 5.00   
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch]  
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch]  

三、生成刪除沖擊波克星文件的Bat文件

save.bat  
 
@echo 'starting fix your system...' net stop RpcPatch net stop RpcTftpd del %systemroot%\system32\wins\svchost.exe del %systemroot%\system32\wins\dllhost.exe @echo 'that's ok!!'  

如果按照步驟執(zhí)行，以上的net stop兩句本來(lái)是多余的，但為了防止用戶不按順序操作，所以特意加上，就當(dāng)是最簡(jiǎn)單的容錯(cuò)吧。

四、生成不啟動(dòng)"阻止ICMP響應(yīng)"的reg文件

onicmp.reg  
 
Windows Registry Editor Version 5.00  
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Local\ActivePolicy] 

五、交付用戶使用

以上的文件都是文本格式，十分小巧，可以很簡(jiǎn)單地用一張軟盤帶走。所以win2k的用戶可以用以下的方式來(lái)進(jìn)行對(duì)沖擊波的防御/殺除/修復(fù)工作（以下操作說(shuō)明是當(dāng)時(shí)天緣針對(duì)幾乎沒有什么電腦使用知識(shí)的網(wǎng)內(nèi)Win2000用戶而寫的，同行們看了請(qǐng)不要指責(zé)我說(shuō)法不夠?qū)I(yè)。粗體是當(dāng)時(shí)寫給用戶的操作說(shuō)明；小字是我對(duì)每一步操作的解釋，原文中是沒有的）

1. 拔掉網(wǎng)線（注意：其實(shí)這步本來(lái)斷掉網(wǎng)絡(luò)連接就可以了，但是因?yàn)閷?shí)際中發(fā)現(xiàn)，讓用戶拔掉網(wǎng)線遠(yuǎn)比教他斷開網(wǎng)絡(luò)連接容易，因此就這樣咯）

2. 雙擊使用officmp.reg，把本機(jī)的ICMP響應(yīng)停掉；

3. 雙擊使用save.reg，把沖擊波從服務(wù)里清除 （注意：由于windows的機(jī)理是在Explorer.exe調(diào)用的時(shí)候和開機(jī)啟動(dòng)的時(shí)候才調(diào)用注冊(cè)表里的最新設(shè)置，因此其實(shí)2、3步對(duì)注冊(cè)表的修改設(shè)置必須要重新啟動(dòng)機(jī)器才能起到作用）

4. 重新啟動(dòng)系統(tǒng)

5. 雙擊使用save.bat，把沖擊波文件給干掉 （注意：之所以安排在這里，一是的確在確認(rèn)該病毒文件沒使用時(shí)才能用del命令殺除，另外一個(gè)原因就是利用用戶操作所花費(fèi)的時(shí)間，巧妙地把開機(jī)ip安全策略實(shí)施時(shí)會(huì)放行大概10個(gè)icmp的弊病回避開）

6. 插上網(wǎng)線，上網(wǎng)在xxxx地址下針對(duì)win2k的sp4補(bǔ)丁，和RPC漏洞補(bǔ)丁 （注意：如上所述，在這一步插上網(wǎng)線時(shí)，ip策略已經(jīng)被應(yīng)用，就不會(huì)產(chǎn)生有染毒機(jī)器發(fā)到本機(jī)的icmp被響應(yīng)的情況了，確保了安全）

7. 安裝sp4，并重新啟動(dòng)

8. 安裝RPC漏洞補(bǔ)丁，并重新啟動(dòng)系統(tǒng)

9. 雙擊使用onicmp.reg文件，打開本機(jī)的ICMP響應(yīng)；

經(jīng)過以上9步，利用reg文件和bat文件，很方便地解決了內(nèi)網(wǎng)中win2k用戶因?yàn)闆_擊波克星無(wú)法上網(wǎng)下載sp4補(bǔ)丁，而安裝RPC漏洞補(bǔ)丁又必須先裝上sp4（其實(shí)是sp2以上就夠了，但都是100多M的大家伙）這個(gè)"先有雞還是先有蛋"的死鎖問題。而且步驟簡(jiǎn)單，所以操作對(duì)用戶透明，只需要看好軟盤copy回去的文件名依照步驟進(jìn)行雙擊操作就行了。半天后，整個(gè)網(wǎng)絡(luò)清凈了。

沖擊波和沖擊波克星病毒解決方案總結(jié)：

記得在上一次的網(wǎng)管筆記中，我特別提到網(wǎng)管應(yīng)該熟悉操作系統(tǒng)的結(jié)構(gòu)和操作系統(tǒng)的內(nèi)部工具以及腳本語(yǔ)言。在這次的真實(shí)例子中，我們用到了哪些知識(shí)呢？本地安全策略的設(shè)置、本地安全設(shè)置在注冊(cè)表中的位置、如何在reg文件中刪除注冊(cè)表內(nèi)一個(gè)鍵值、注冊(cè)表設(shè)置的作用時(shí)間、如何寫簡(jiǎn)單的bat文件、如何閱讀利用國(guó)內(nèi)外組織的安全公告。網(wǎng)管不少時(shí)候就象救生員一樣，是在危機(jī)關(guān)頭必須盡快作出方案來(lái)解決問題，因此平時(shí)對(duì)知識(shí)細(xì)節(jié)的掌握就格外重要了。

一旦找到存活主機(jī)，就會(huì)嘗試用DCOM RPC溢出。溢出成功后監(jiān)聽本機(jī)隨機(jī)的一個(gè)小于1000的TCP端口，等待目標(biāo)主機(jī)回連，連接成功后首先發(fā)送"dir dllcache\tftpd.exe"和"dir wins\dllhost.exe"命令，根據(jù)返回字符串判斷目標(biāo)系統(tǒng)上是否有這兩個(gè)文件，如果目標(biāo)系統(tǒng)上有tftpd.exe文件，則"copy dllcache\tftpd.exe wins\svchost.exe"，如果沒有，就利用自己建立的tftp服務(wù)將文件傳過去。并根據(jù)tftp命令的返回判斷是否執(zhí)行成功，若成功，就執(zhí)行，不成功則退出。

沖擊波和沖擊波克星病毒的清除，你學(xué)會(huì)了嗎？只要按照如上所述的操作步驟進(jìn)行就可以了，相信你要認(rèn)真一定可以成功消滅沖擊波和沖擊波克星。

【編輯推薦】

1. 25日病毒預(yù)報(bào)：謹(jǐn)防腳本病毒 后門木馬現(xiàn)身
2. “VBS”腳本病毒特點(diǎn) 原理分析以及如何防范
3. 文件夾病毒的防治措施
4. 手機(jī)病毒種類增多 智能手機(jī)用戶需謹(jǐn)慎
5. 手機(jī)病毒威脅個(gè)人信息安全
6. 病毒檔案之可執(zhí)行文件病毒解析
7. 病毒檔案之腳本病毒解析