沖擊波和沖擊波克星病毒感染分析的整體思路請閱讀：沖擊波和沖擊波克星感染主機問題解析，那么這個思路清晰后，我們便著手開始實施解決。

一、 生成禁止ICMP包的IP安全策略,然后轉(zhuǎn)成REG文件

首先當(dāng)然還是設(shè)置IP安全策略了，文不如表，表不如圖，我們還是邊抓圖邊說吧。 開始-->程序-->管理工具-->本地安全策略 打開，之后，選到Ip安全策略，在本地機器，如圖

在上面點右鍵，選擇"創(chuàng)建IP安全策略",在彈出的窗口中選"下一步"，然后根據(jù)我們的目的輸入名稱,描述部分可有可無

然后一直選"下一步"，遇到警告那里選"是"，最后會彈出屬性編輯的窗口，如下圖：］

新的安全策略已經(jīng)添加上了，但是我們的過濾器還沒有設(shè)置呢，點"添加"，然后一直點"下一步"直到出現(xiàn)這個窗口

選"添加"，然后在出來的窗口中如下設(shè)置

然后再選擇"添加"（頭昏沒？堅持住，就快看到曙光了），接著選"下一步"，在源地址那里選"任何IP地址"，目的地址那里選"我的ip地址"，協(xié)議那里選"ICMP"，之后選"完成"。關(guān)閉"IP篩選器列表"窗口，回到"安全規(guī)則向?qū)?quot;窗口這里，選中我們剛剛設(shè)置的"ICMP包篩選器"，然后點"下一步"，出來一個"安全規(guī)則向?qū)?quot;窗口

在這里，選擇"添加",然后在出來的窗口中，名稱"阻止"，然后下一步，選"阻止"，然后回到上圖，選中"阻止"，接著點"下一步"，"完成"，"關(guān)閉"?；氐?quot;本地安全策略"窗口，在"禁止ICMP響應(yīng)"上點右鍵，選"指派"就完成了。

好，讓我們從其他機器來ping一下該機器試試，是不是已經(jīng)無法ping通了？證明設(shè)置成功了。

恩!我們自己的確是把IP安全策略設(shè)置好了，但總不能讓每個用戶都這么麻煩地設(shè)置吧？？聯(lián)想到Windows的大多數(shù)系統(tǒng)工具的配置都保存在注冊表中，那么是否IP安全策略也是如此呢？輸入命令regedit,果然在 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Local 這里找到了我們的策略設(shè)置。 將這個目錄倒出為reg文件，取名為officmp.reg就完成了我們的第一步。

#p#

二、生成刪除沖擊波克星在注冊表中設(shè)置的服務(wù)項的文件

這一步很簡單根據(jù)中聯(lián)綠盟給出的注冊表鍵值，直接從注冊表中刪除，該文件如下

save.reg Windows Registry Editor Version 5.00   
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch]  
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch]  

三、生成刪除沖擊波克星文件的Bat文件

save.bat  
 
@echo 'starting fix your system...' net stop RpcPatch net stop RpcTftpd del %systemroot%\system32\wins\svchost.exe del %systemroot%\system32\wins\dllhost.exe @echo 'that's ok!!'  

如果按照步驟執(zhí)行，以上的net stop兩句本來是多余的，但為了防止用戶不按順序操作，所以特意加上，就當(dāng)是最簡單的容錯吧。

四、生成不啟動"阻止ICMP響應(yīng)"的reg文件

onicmp.reg  
 
Windows Registry Editor Version 5.00  
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Local\ActivePolicy] 

五、交付用戶使用

以上的文件都是文本格式，十分小巧，可以很簡單地用一張軟盤帶走。所以win2k的用戶可以用以下的方式來進行對沖擊波的防御/殺除/修復(fù)工作（以下操作說明是當(dāng)時天緣針對幾乎沒有什么電腦使用知識的網(wǎng)內(nèi)Win2000用戶而寫的，同行們看了請不要指責(zé)我說法不夠?qū)I(yè)。粗體是當(dāng)時寫給用戶的操作說明；小字是我對每一步操作的解釋，原文中是沒有的）

1. 拔掉網(wǎng)線（注意：其實這步本來斷掉網(wǎng)絡(luò)連接就可以了，但是因為實際中發(fā)現(xiàn)，讓用戶拔掉網(wǎng)線遠比教他斷開網(wǎng)絡(luò)連接容易，因此就這樣咯）

2. 雙擊使用officmp.reg，把本機的ICMP響應(yīng)停掉；

3. 雙擊使用save.reg，把沖擊波從服務(wù)里清除 （注意：由于windows的機理是在Explorer.exe調(diào)用的時候和開機啟動的時候才調(diào)用注冊表里的最新設(shè)置，因此其實2、3步對注冊表的修改設(shè)置必須要重新啟動機器才能起到作用）

4. 重新啟動系統(tǒng)

5. 雙擊使用save.bat，把沖擊波文件給干掉 （注意：之所以安排在這里，一是的確在確認該病毒文件沒使用時才能用del命令殺除，另外一個原因就是利用用戶操作所花費的時間，巧妙地把開機ip安全策略實施時會放行大概10個icmp的弊病回避開）

6. 插上網(wǎng)線，上網(wǎng)在xxxx地址下針對win2k的sp4補丁，和RPC漏洞補丁 （注意：如上所述，在這一步插上網(wǎng)線時，ip策略已經(jīng)被應(yīng)用，就不會產(chǎn)生有染毒機器發(fā)到本機的icmp被響應(yīng)的情況了，確保了安全）

7. 安裝sp4，并重新啟動

8. 安裝RPC漏洞補丁，并重新啟動系統(tǒng)

9. 雙擊使用onicmp.reg文件，打開本機的ICMP響應(yīng)；

經(jīng)過以上9步，利用reg文件和bat文件，很方便地解決了內(nèi)網(wǎng)中win2k用戶因為沖擊波克星無法上網(wǎng)下載sp4補丁，而安裝RPC漏洞補丁又必須先裝上sp4（其實是sp2以上就夠了，但都是100多M的大家伙）這個"先有雞還是先有蛋"的死鎖問題。而且步驟簡單，所以操作對用戶透明，只需要看好軟盤copy回去的文件名依照步驟進行雙擊操作就行了。半天后，整個網(wǎng)絡(luò)清凈了。

沖擊波和沖擊波克星病毒解決方案總結(jié)：

記得在上一次的網(wǎng)管筆記中，我特別提到網(wǎng)管應(yīng)該熟悉操作系統(tǒng)的結(jié)構(gòu)和操作系統(tǒng)的內(nèi)部工具以及腳本語言。在這次的真實例子中，我們用到了哪些知識呢？本地安全策略的設(shè)置、本地安全設(shè)置在注冊表中的位置、如何在reg文件中刪除注冊表內(nèi)一個鍵值、注冊表設(shè)置的作用時間、如何寫簡單的bat文件、如何閱讀利用國內(nèi)外組織的安全公告。網(wǎng)管不少時候就象救生員一樣，是在危機關(guān)頭必須盡快作出方案來解決問題，因此平時對知識細節(jié)的掌握就格外重要了。

一旦找到存活主機，就會嘗試用DCOM RPC溢出。溢出成功后監(jiān)聽本機隨機的一個小于1000的TCP端口，等待目標(biāo)主機回連，連接成功后首先發(fā)送"dir dllcache\tftpd.exe"和"dir wins\dllhost.exe"命令，根據(jù)返回字符串判斷目標(biāo)系統(tǒng)上是否有這兩個文件，如果目標(biāo)系統(tǒng)上有tftpd.exe文件，則"copy dllcache\tftpd.exe wins\svchost.exe"，如果沒有，就利用自己建立的tftp服務(wù)將文件傳過去。并根據(jù)tftp命令的返回判斷是否執(zhí)行成功，若成功，就執(zhí)行，不成功則退出。

沖擊波和沖擊波克星病毒的清除，你學(xué)會了嗎？只要按照如上所述的操作步驟進行就可以了，相信你要認真一定可以成功消滅沖擊波和沖擊波克星。

【編輯推薦】

1. 25日病毒預(yù)報：謹防腳本病毒 后門木馬現(xiàn)身
2. “VBS”腳本病毒特點 原理分析以及如何防范
3. 文件夾病毒的防治措施
4. 手機病毒種類增多 智能手機用戶需謹慎
5. 手機病毒威脅個人信息安全
6. 病毒檔案之可執(zhí)行文件病毒解析
7. 病毒檔案之腳本病毒解析