應對方法是,斷開網路,打開任務管理器的進程,結束ntsystm.exe,同時再在硬碟查找這個檔案並刪除,在註冊表里也把它的鍵值刪除,再次啟動系統。及時更新病毒庫。
該病毒是常駐記憶體的蠕蟲病毒,利用RPC DCOM 緩衝區溢出漏洞、ⅡS5/WEBDAV 緩衝區溢出漏洞和RPC Locator 漏洞進行傳播,還可通過弱密碼攻擊遠程系統進行主動傳播以及利用mIRC軟體進行遠程控制和傳播。
病毒運行後,在%System%資料夾下生成自身的拷貝nvchip4.exe。添加註冊表項,使得自身能夠在系統啟動時自動運行。
“高波”病毒最新變種:“高波變種3T”(Worm.Agobot.3.T),後來又發現了另一個新變種“高波變種3N”(Worm.Agobot.3.N)。
這兩個蠕蟲病毒特性一樣,不但利用了“衝擊波”曾利用過的RPC漏洞,還使用了另外幾個不為常知的漏洞,對區域網路中的計算機進行多種攻擊,破壞性要比“衝擊波”病毒更為厲害。
病毒運行時會掃描網路,對存在漏洞的計算機進行攻擊,攻擊成功後病毒還會利用大型密碼字典來猜測計算機中密碼,感染區域網路,導致整個區域網路癱瘓。
病毒的發現與清除:
⒈ 病毒會對NT以上作業系統進行RPC DCOM漏洞攻擊、synflood攻擊、iis/webdav 漏洞攻擊等多種攻擊方式。
⒉ 病毒發作時會對用戶計算機帶來以下影響:無法正常使用OFFICE軟體,無法進行複製、貼上,註冊表無法使用,系統檔案無法正常顯示,CPU占用率達到100%、使用戶計算機反應速度變慢。如果用戶發現自己的計算機出現以上現象,則很有可能是中了該病毒,這時應該立刻斷網、打補丁、防毒,消除病毒造成的破壞。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了“高波變3N/3T種(Worm.AgoBot.3.N/T)”病毒。
