如何评价“现实主义冲击波”?
第1题:
如何彻底清除“冲击波”的变种蠕虫?
应急办法:
、如果不小心感染病毒,可以使用如下步骤进行查杀:
1.关闭“系统关机”提示框
在出现关机提示时,在“开始→运行”中输入“shutdown -a”,即可取消“系统关机”提示框,该方法确保用户有足够的时间下载补丁。
2.下载针对“冲击波”的补丁
Windows2000专用补丁:http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe;
Windows NT4.0专用补丁:http://download.microsoft.com/download/1/a/f/1af70395-d328-4135-86aa-cae9bb4bdec6/CHSQ823980i.EXE;
Windows XP专用补丁:http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe;
Windows 2003专用补丁:http://download.microsoft.com/download/0/7/9/07971669-76fc-4e69-bc4e-88837d8005d1/WindowsServer2003-KB823980-x86-CHS.exe;
最新专杀工具:http://db.kingsoft.com/download/3/91.shtml
它是"冲击波"的新变种,名称各不相同:
MSBlast.D (趋势科技)
LovSAN.D (F-Secure )
W32/Nachi.Worm (NAI)
W32.Welchia.Worm (Symantec)
它利用DCOM RPC溢出和WebDAV溢出漏洞.
该蠕虫会发送大量ICMP数据包,阻塞正常网络通信,危害很大.
该蠕虫大小为10240字节。用VC 6.0编译,upx 压缩。
计算机感染特征
1、被感染机器中存在如下文件:
%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE
2、注册表中增加如下子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcPatch
3、增加两项伪装系统服务:
3、增加两项伪装系统服务:
Network Connection Sharing WINS Client
4、监听TFTP端口(69),以及一个随机端口(常见为707);
5、发送大量载荷为“aa”,填充长度92字节的icmp报文,大量icmp报文导致网络不可用。
6、大量对135端口的扫描;
蠕虫的详细信息
在被感染的机器上蠕虫会做以下操作:
1、蠕虫首先将自身拷贝到%System%\Wins\Dllhost.exe (%system%根据系统不同而不同,win2000为c:\winnt\system32,winxp为c:\windows\system32)
2、拷贝%System%\Dllcache\Tftpd.exe到%System%\Wins\svchost.exe
3、创建RpcTftpd服务,该服务取名Network Connections Sharing,并拷贝Distributed Transaction Coordinator服务的描述信息给自身。
服务的中文描述信息为:并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器创建RpcPatch服务,该服务取名WINSClient,并拷贝Computer Browser服务的描述信息给自身。服务的中文描述信息为:维护网络上计算机的最新列 表以及提供这个列表给请求的程序。
4、判断内存中是否有msblaster蠕虫的进程,如果有就杀掉,判断system32目录下有没有msblast.exe 文件,如果有就删除。
5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段,检测这些地址段中存活的主机。
6、一旦发现存活的主机,便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。 溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情况看,通常都是707端口。
7、建立连接后发送“dirdllcache\tftpd.exe”和“dirwins\dllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,就将tfptd拷贝到%system%\wins\svhost.exe,如果没有,就利用自己建立的tftp服务将文件传过后再拷贝。
8、检测自身的操作系统版本号及server pack的版本号,然后到微软站点下载相应的ms03-26补丁并安装。如果补丁安装完成就重新启动系统。
9、监测当前的系统日期,如果是2004年,就将自身清除。
网络控制方法
如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞下面的协议端口:
UDP Port 69, 用于文件下载
TCP Port 135, 微软:DCOM RPC
ICMP echo request(type 8) 蠕虫用于发现活动主机
如果您使用基于网络的入侵检测系统(比如Snort),snort兼容的系统可使用如下检测规则:
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"W32.Nachi.Worm infect ";content:"|aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa|";itype:8;depth:32; reference:http://www.ccert.edu.cn; sid:483; classtype:misc-activity; rev:2;)
手动清除方法
如果您的计算机感染了Nachi蠕虫,可以用如下方法清除:
1、停止如下两项服务(开始->程序->管理工具->服务):
WINS Client Network Connections Sharing
2、检查、并删除文件:
%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE
3. 进入注册表(“开始->运行:regedit),删除如下键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcPatch
4. 给系统打补丁(否则很快被再次感染)
安装Windows 2000 SP4(http://www.microsoft.com/Windows2000/downloads/servicepacks/sp4/download.asp)和MS03-026(http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)的安全更新。
下载地址:Windows NT 4.0 Server:http://www.microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en
Windows NT 4.0 Terminal Server Edition :
http://www.microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-42
http://www.microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
Windows 2000: http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en
Windows XP 32 bit Edition:http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
Windows XP 64 bit Edition:http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
Windows Server 2003 32 bit Edition:http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en
Windows Server 2003 64 bit Edition:http://www.microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
安装补丁后您需要重新启动系统才能使补丁生效
它是"冲击波"的新变种,名称各不相同:
MSBlast.D (趋势科技)
LovSAN.D (F-Secure )
W32/Nachi.Worm (NAI)
W32.Welchia.Worm (Symantec)
它利用DCOM RPC溢出和WebDAV溢出漏洞.
该蠕虫会发送大量ICMP数据包,阻塞正常网络通信,危害很大.
该蠕虫大小为10240字节。用VC 6.0编译,upx 压缩。
计算机感染特征
1、被感染机器中存在如下文件:
%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE
2、注册表中增加如下子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcPatch
3、增加两项伪装系统服务:
3、增加两项伪装系统服务:
Network Connection Sharing WINS Client
4、监听TFTP端口(69),以及一个随机端口(常见为707);
5、发送大量载荷为“aa”,填充长度92字节的icmp报文,大量icmp报文导致网络不可用。
6、大量对135端口的扫描;
蠕虫的详细信息
在被感染的机器上蠕虫会做以下操作:
1、蠕虫首先将自身拷贝到%System%\Wins\Dllhost.exe (%system%根据系统不同而不同,win2000为c:\winnt\system32,winxp为c:\windows\system32)
2、拷贝%System%\Dllcache\Tftpd.exe到%System%\Wins\svchost.exe
3、创建RpcTftpd服务,该服务取名Network Connections Sharing,并拷贝Distributed Transaction Coordinator服务的描述信息给自身。
服务的中文描述信息为:并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器创建RpcPatch服务,该服务取名WINSClient,并拷贝Computer Browser服务的描述信息给自身。服务的中文描述信息为:维护网络上计算机的最新列 表以及提供这个列表给请求的程序。
4、判断内存中是否有msblaster蠕虫的进程,如果有就杀掉,判断system32目录下有没有msblast.exe 文件,如果有就删除。
5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段,检测这些地址段中存活的主机。
6、一旦发现存活的主机,便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。 溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情况看,通常都是707端口。
7、建立连接后发送“dirdllcache\tftpd.exe”和“dirwins\dllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,就将tfptd拷贝到%system%\wins\svhost.exe,如果没有,就利用自己建立的tftp服务将文件传过后再拷贝。
8、检测自身的操作系统版本号及server pack的版本号,然后到微软站点下载相应的ms03-26补丁并安装。如果补丁安装完成就重新启动系统。
9、监测当前的系统日期,如果是2004年,就将自身清除。
网络控制方法
如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞下面的协议端口:
UDP Port 69, 用于文件下载
TCP Port 135, 微软:DCOM RPC
ICMP echo request(type 8) 蠕虫用于发现活动主机
如果您使用基于网络的入侵检测系统(比如Snort),snort兼容的系统可使用如下检测规则:
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"W32.Nachi.Worm infect ";content:"|aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa|";itype:8;depth:32; reference:http://www.ccert.edu.cn; sid:483; classtype:misc-activity; rev:2;)
手动清除方法
如果您的计算机感染了Nachi蠕虫,可以用如下方法清除:
1、停止如下两项服务(开始->程序->管理工具->服务):
WINS Client Network Connections Sharing
2、检查、并删除文件:
%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE
3. 进入注册表(“开始->运行:regedit),删除如下键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcPatch
4. 给系统打补丁(否则很快被再次感染)
安装Windows 2000 SP4(http://www.microsoft.com/Windows2000/downloads/servicepacks/sp4/download.asp)和MS03-026(http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)的安全更新。
下载地址:Windows NT 4.0 Server:http://www.microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en
Windows NT 4.0 Terminal Server Edition :
http://www.microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-42
http://www.microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
Windows 2000: http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en
Windows XP 32 bit Edition:http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
Windows XP 64 bit Edition:http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
Windows Server 2003 32 bit Edition:http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en
Windows Server 2003 64 bit Edition:http://www.microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
安装补丁后您需要重新启动系统才能使补丁生效
第2题:
如何认识现实型、理想型、象征型文学与现实主义、浪漫主义、象征主义的关系?
现实型、理想型、象征型分别是纵贯人类文学史的三大文学类型。而现实主义、浪漫主义、象征主义分别是先后发生在欧洲18世纪末到20世纪的三个文学思潮、文学运动和流派。它们是三大文学类型得到充分发展的一段文学,是它们的典型形态。
略
第3题:
被称为“现实主义冲击波”的“三驾马车”的小说家是谁?
第4题:
如何理解游戏评价的含义?游戏评价的类型是如何划分的?
第5题:
对《庄子》艺术风格评价不正确的是()。
第6题:
新现实主义是如何通过镜头和画面表现出来的?它对电影语言的贡献何在?
第7题:
现实主义冲击波
第8题:
第9题:
第10题:
第11题:
第12题:
第13题:
1990年代,刘震云、池莉、方方一般被视为()作家。
A新写实小说
B实验小说
C现实主义冲击波小说
D晚生代小说
第14题:
《梁甫吟》一诗如何运用现实主义与浪漫主义相结合的方法表达主旨?
诗的第一部分,运用了历史典故人物,是真实的人物故事。
略
第15题:
如何理解拉美魔幻现实主义中现实与魔幻的关系?
第16题:
如何建立技术经济评价体系?如何设计评价指标?
第17题:
如何认识现实型、理想型、象征型文学与现实主义、浪漫主义文学的关系?
第18题:
站在旁观者的立场上,我们如何认识苏联的“社会主义现实主义”这种创作方法?
第19题:
你是如何理解唐吉诃德形象的现实主义艺术成就的?
第20题:
第21题:
第22题:
新写实小说
实验小说
现实主义冲击波小说
晚生代小说
第23题: