【www.hzclsc.cn--办公】

1、原理

该蠕虫病毒利用TCP 135端口，通过DCOM RPC漏洞进行攻击。当此病毒感染计算机系统后，执行如下操作：

1).创建一个线程 BILLY
  2).修改注册表：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]增加 windows auto update = msblast.exe 键值，使得病毒可以在系统启动时自动运行。

3).然后按照一定的规则来攻击网络上特定段的机器。向该随机段IP段的机器的所有135端口发布攻击代码，成功后，在TCP的端口4444创建cmd.exe。该病毒还能接受外界的指令，在UDP的端口69上接受指令，发送文件Msblast.exe网络蠕虫主体。

4).发送指令到远程计算机，使其连接被感染的主机，下载并运行Msblast.exe文件。

2、除了利用江民杀毒软件KV2004查杀外，可以利用江民黑客防火墙或反黑王关闭以下几个端口:

TCP端口135

TCP端口4444

UDP端口69

3、具体操作

1)打开江民黑客防火墙，点击规则设置

2)点击添加规则

选择TCP协议，在本地端口，加入135及4444，处理方法选择拦截，同时，可以根据需要，可以选择是否进行记录。

点击确定，完成。

同样，点击新建规则，我们可以关闭UDP的65端口。

保存以上我们添加的规则，这样，我们就可以关闭这些端口了，从而达到预防 冲击波 病毒的传播。

4、江民黑客防火墙的获得：从 江民杀毒软件KV2004 运行光盘的安装导航界面上可以选择安装。江民黑客防火墙可以运行在WINDOWS 2000、XP、NT、2003等操作系统上。
 

本文来源：http://www.hzclsc.cn/ruanjianzixun/34132.html