用注冊表+批處理文件解決局越網內千臺Win2k機器受沖擊波/沖擊波克星感染的問題分析如下：

對網絡管理員來說，沖擊波克星的危害尤大，因為每臺中毒機器每秒發(fā)出上千個ICMP包，對接入/匯聚交換機來說很容易導致交換機被堵塞死。不幸的是，筆者所在學校的接入和匯聚交換機也被堵死了。

中病毒的用戶也因為交換機的堵塞無法連接到指定內部的網站下載補丁和專殺文件，因此只有使用存儲設備copy的方式來解決。XP/2003系統很方便，專殺工具和RPC補丁一張軟盤就能copy給用戶，但在Win2000系統那里遇到了麻煩--RPC漏洞補丁需要在已安裝了SP2以上的Win2000中才可以運行，而眾多用戶由于一直以來不夠重視補丁升級等計算機維護工作，沒有在系統上打上SP2以上的Patch包，由于SP2以及后來的SP3、SP4每個都在100余M以上，無法通過軟盤Copy,而學?？偣灿?000多個分散的節(jié)點使用了Win2000操作系統，靠網絡中心的人力和物力購買大量USB閃盤或者刻錄成光盤依次安裝也不太現實。網絡中心的電話鈴聲不斷響起，用戶的求援幫助不斷增加，該如何辦？

解鈴還需系鈴人，還是先研究一下病毒的傳播特點以及各專殺工具/防御工具的實現原理吧，下面是一段關于手工清除病毒的做法：

1、安裝好RPC補丁。

2、點擊左下角的"開始"菜單，選擇"運行"，在其中鍵入"cmd"，點擊"確定"。這樣就啟動了命令提示符。在其中鍵入：

net stop RpcPatch  
 
net stop RpcTftpd 

3、刪除%systemroot%\system32\wins\svchost.exe和%systemroot%\system32\wins\dllhost.exe。

4、點擊左下角的"開始"菜單，選擇"運行"，在其中鍵入"regedit"，點擊"確定"。這樣就啟動注冊表編輯器。在注冊表中刪除鍵：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch  
 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd  
 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd  
 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch 

5、重新啟動系統。

按照以上的方案就可以殺掉沖擊波克星了，但由于涉及到注冊表/命令行的操作，對我們業(yè)內人員來說容易，而校內大部分用戶是教師和行政人員，操作起來難度太大，大多用戶使用文件都只會雙擊啟動。那么，有辦法我們依照以上的原理自己寫個小工具，想辦法讓用戶通過雙擊就能應用了么？仔細分析一下，以上步驟中的第2、3步驟，通過bat文件就能很容易地做到；而第4點，通過一個reg文件也能夠做到，難在***點：如我們剛才分析過的一樣，如何給Win2000用戶打上SP2補丁是一個大問題呢。

時間不斷流逝著，我不斷思考。根據我們的2、3步驟，其實我們已經把用戶機器上的沖擊波克星病毒成功殺除了。打補丁的作用是為了避免用戶在連上網后遭遇再次感染--既然不能打上補丁，那么能否研究一下病毒的感染原理，通過配置windows自身的工具來實現對病毒判斷的欺騙，讓其無法進入呢？？試試看！

研究一下綠盟的緊急公告中的內容，發(fā)現有以下一段話：

蠕蟲病毒選擇目標IP地址的時候會首先選擇受感染系統所在子網的IP，然后再按照一定算法隨機在互連網上用ICMP掃描的方法尋找存活主機，發(fā)送的ICMP報文類型為echo，總大小為92字節(jié)，數據區(qū)為64字節(jié)的"0xAA"。由于發(fā)送的ICMP流量很大，可導致網絡阻塞。這是蠕蟲的主要危害。

明白了，病毒的感染方式是這樣的：首先Ping所在子網的其他機器，如果有響應（這招跟不少嗅探軟件和RedCode等病毒相似，為的是跳過沒啟動的機器以加快感染效率）則通過漏洞的端口進行文件上傳并執(zhí)行。

看來解決感染的方式有兩個：1.關閉機器的ICMP響應（讓用戶的機器無法被Ping到，則該病毒就會認為該機沒啟動而不進行感染）；2.將機器上的tcp/udp 135,137,138,139全部關閉(漏洞所在端口和上傳文件端口)；

通過對Windows2000的了解，我知道在本地安全策略->IP安全策略中可以成功實現對以上兩種解決方案的支持。而且安全策略的配置文件同樣是放在了注冊表內，可以生成reg格式文件，讓用戶雙擊倒入的方式進行安裝。恩，方法已經找到了。那么選擇哪一個方法呢？讓我們來考慮一下利弊吧。

1. 關閉機器的ICMP響應：

在IP安全策略中的支持很簡單，添加一個filter和一個屬性設置；不對網絡共享及其他服務構成沖突；缺點在于他人無法通過ping命令確定該機器是否連網正常；而且在開機的瞬間，網絡是先連接再實施策略，根據我的實驗大概有10個icmp包能被響應。

2. 將機器上的tcp/udp 135,137,138,139全部關閉：

優(yōu)點在于是從病毒的傳播端口上防止病毒進入，防范安全性更高，且如果產生利用該漏洞的其他變種也能防御；缺點是會影響到網絡鄰居文件共享，設置起來比較麻煩。

綜合考慮后，決定采用方案一，理由如下：不論方法1、2都是應急措施，并不是一勞永逸，目的是為了讓Win2000的用戶能夠在殺毒后不再被感染和不成為病毒源，讓用戶能夠連上網絡可以盡快下載安裝校內FTP上的SP4和RPC漏洞補丁，以***此漏洞。針對方案一的策略應用中一開始icmp有10個包能被反饋的特性情況，可以通過對操作步驟的合理安排，巧妙回避，令用戶感覺不到（對用戶透明）。

沖擊波和沖擊波克星感染主機問題的分析就結束了，那么這個問題該如何解決呢？請讀者繼續(xù)閱讀：刪除沖擊波和沖擊波克星病毒解決方案

【編輯推薦】

1. 25日病毒預報：謹防腳本病毒 后門木馬現身
2. “VBS”腳本病毒特點 原理分析以及如何防范
3. 文件夾病毒的防治措施
4. 手機病毒種類增多 智能手機用戶需謹慎
5. 手機病毒威脅個人信息安全
6. 病毒檔案之可執(zhí)行文件病毒解析
7. 病毒檔案之腳本病毒解析