冲击波再起风云

    今日得到网友提供信息：“网络上出现一种新型的蠕虫变种病毒，W32.Welchia.Worm”附查杀工具请使用win2000,winxp系统的朋友下载程序查杀病毒。

    本地下载地址//product.zol.com.cn/soft/detail.php?softid=5684

    不过这次显然防病毒公司早有准备了，最近的杀毒工具已经能够赶在大规模爆发之前推出。以下是两大杀毒软件《金山毒霸》和《瑞星》在8月19日的相关报道

    8月19日中午12：00，瑞星全球反病毒监测网再次率先截获了冲击波病毒的最新变种，并暂时命名为：冲击波IV（Worm.Blaster.D）。据瑞星反病毒工程师分析，该病毒变种和前两个变种病毒一样，没有在原始病毒上做大的改动，传染和破坏能力与“冲击波”其它变种相同，这个变种病毒只是重新改变了病毒文件名称和注册表键值。

    瑞星反病毒工程师判断，这种改动的目的仍然是为了躲避杀毒软件的追杀。瑞星反病毒专家预计，该病毒编写者是为了延长病毒的生命力，从而给自己争取到推出病毒新版本的时间。到目前为止，“冲击波”病毒共产生了四个病毒体，为了避免用户的计算机再次受到冲击波变种病毒的破坏，请广大用户提高警惕，及时升级杀毒软件或者下载专杀工具。

    瑞星公司将以最快的速度提交这两个新变种病毒的解决方案，将在19日下午进行紧急升级并提交专杀工具，有关于该病毒变种的进一步消息以及紧急升级通知，请广大用户密切关注瑞星网站的消息发布。
   
    同日，金山毒霸应急处理中心昨晚截获到一起速度极快的蠕虫病毒，命名为“冲击波克星”（Worm.KillMsBlast)，危险级4A，并已经紧急制作升级数据提供下载。此蠕虫在发现之内数小时内已经感染数十万台机器。遍布教育网、铁通网、联通网，几乎现在几乎只要打开一台机器连通Internet，就会在半分钟内接到来自各个不同方向的数百个连接尝试。

    新一轮的蠕虫爆发已然悄悄开始，据金山毒霸反病毒工程师介绍，此蠕虫主要还是通过RPC漏洞发起攻击，复制自身。但与前几例RPC蠕虫有这明显的不同之处，首先在于这个蠕虫侵入系统之后首先检测系统是否已经感染了“冲击波”病毒，如果感染了“冲击波”病毒，“冲击波克星”首先会将系统中的“冲击波”病毒清除的干干净净，并会尝试从微软网站上下载RPC漏洞补丁程序，将受感染的系统打上补丁。并随之开启开启上百个线程疯狂探测IP地址，如果ping通目标ip地址，就尝试通过RPC漏洞快速传播自己，消耗大量CPU和网络资源，并且有可能会导致系统死机。

    由于此蠕虫的攻击方式独具特色，具有很强的针对性，并不像以往的蠕虫那样随机生成ip，而是有的放矢的针对可以连通的ip地址发起攻击。同时在被侵入的系统中开启百多个线程同时工作，使得此蠕虫的攻击传播速度比以往的蠕虫增大了数百倍有余。

    金山毒霸反病毒工程师提醒广大用户，一定要及时安装系统补丁，并且及时安装网络防火墙并实时升级杀毒软件。

    已经安装有网络防火墙的用户，请关闭PING数据包的ICMP连接许可，防备被病毒多次尝试连接造成的不稳定因素。