近期网络时常发生阻塞现象，网络交换设备负荷明显上升，用户反映上网速度时快时慢，经查该故障现象由用户终端病毒引起，该病毒为“冲击波杀手”，感染方式：发送ICMP响应信号，或者发送PING命令来感染互连网上存在病毒的机器。从而严重影响网络性能。

目前网络内的病毒基本上来自小区LAN用户和普通ADSL用户，其中LAN用户，由于其带宽比较充裕，发送的病毒数据包数目巨大，所以对网络性能的影响较大。目前从东湖校区学生公寓用户发出的病毒数据包最多，已经严重阻塞网络，其次锦南新村，广场花园小区用户也发送较多的病毒数据包。

为了及时改善目前的网络性能，需要这部分用户及时查杀病毒并打补丁，以防止类似情况发生。现需要各相关部门做好以下工作：

一、大客户部负责要求林学院在学生宿舍发布通告，要求用户限期清理病毒，打补丁。

二、由大客户部负责在“网上临安”发布如何查杀病毒，打补丁的告示。

三、宽带安装维护组、世讯公司在修障时增加查杀病毒和打补丁的工作环节。

附：

“冲击波杀手”病毒查杀办法

病毒描述：

W32.Nachi.Worm蠕虫(以下简称Nachi蠕虫)利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞(漏洞信息参见http://www.ccert.edu.cn/ advisor ies/all.php?ROWID=48) 和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞（漏洞信息参见http://www.ccert. edu.cn/advisories/all.php?ROWID=28）进行传播。如果该蠕虫发现被感染的机器上有"冲击波"蠕虫，则杀掉"冲击波"蠕虫，并为系统打上补丁程序，但由于程序运行上下文的限制，很多系统不能被打上补丁，并被导致反复重新启动。Nachi蠕虫感染机器后，会产生大量长度为92字节的ICMP报文，从而严重影响网络性能。

计算机感染特征：

1、被感染机器中存在如下文件：

%SYSTEMROOT%SYSTEM32WINSDLLHOST.EXE

%SYSTEMROOT%SYSTEM32WINSSVCHOST.EXE

2、注册表中增加如下子项：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

RpcTftpd

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

RpcPatch

3、增加两项伪装系统服务：

Network Connection Sharing

WINS Client

4、监听TFTP端口(69)，以及一个随机端口（常见为707）；

5、发送大量载荷为"aa"，填充长度92字节的icmp报文，大量icmp报文导致网络不可用。

6、大量对135端口的扫描；

查杀工具：

在维护安装部网站http://61.175.196.43/ 最新下载栏目中下载瑞星“冲击波”病毒专杀工具 进行查杀病毒。

手动清除方法

如果您的计算机感染了Nachi蠕虫，可以用如下方法清除：

1、停止如下两项服务（开始->程序->管理工具->服务）：

WINS Client

Network Connections Sharing

2、检查、并删除文件:

%SYSTEMROOT%SYSTEM32WINSDLLHOST.EXE

%SYSTEMROOT%SYSTEM32WINSSVCHOST.EXE

3. 进入注册表（"开始->运行：regedit），删除如下键值：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

RpcTftpd

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

RpcPatch

4. 给系统打补丁（否则很快被再次感染）,

维护安装部网站：http://61.175.196.43/

下载相关操作系统的补丁。

临安市电信局

2004年3月13日