抗御“冲击波”

2003年 7月中旬，微软发布的一则安全公告称，在 Windows NT 4.0、 Windows 2000、 Windows XP和 Windows Server 2003中，存在着一个严重的安全漏洞── RPC（远程过程调用）接口中的缓冲区溢出可能允许执行代码。之后就不断有安全专家告诫公众，利用这一缺陷进行的攻击的蠕虫病毒即将出现。

果然，在不久以后的 8月 11日，一种后来被公安部统一命名为“冲击波”的 新型蠕虫病毒开始在互联网上传播。仅仅两天后，据路透财经美国当地时间 8月 13日凌晨（北京时间 8月 13日上午）报道，赛门铁克安全反应感应器网络的样本显示，全球至少有 12.4万台使用微软 Windows操作系统的计算机感染了“冲击波”病毒。业内人士分析指出，“冲击波”给全球互联网所带来的直接损失将在几十亿美元左右。

让我们把目光转向日本。某制药公司，同样未能幸免的，在 8 月中旬，企业内网受到 Blaster 病毒的攻击，病毒的感染迅速的在公司内部蔓延。但比较幸运的是，这家公司使用 QND 来管理公司的 1500 台客户端。对该紧急情况， QND 就充分发挥了它的远程注册表更改功能的优势，删除了用于启动 Blaster 的注册表键值，从而避免了损失。

首先 让我们来了解一下这种“冲击波”（ Worm.Blaster ）病 毒，它是带有“ msblast.exe ”实体程序的电脑蠕虫病毒。该病毒运行时会将自身复制到 window 目录下，命名为： msblast.exe 并且修改注册表： 在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下的键值： ”windows auto update”=”msblast.exe”，每次启动系统时，病毒都会运行。 病毒运行时会不停地利用 IP 扫描技术寻找网络上系统为 Win2K 或 XP 的计算机，找到后就利用 DCOM RPC 缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。

对病毒的原理进行分析，我们就可以发现，对于 Worm.Blaster 病毒，光是采取停止“ msblast.exe ”程序的进程是无法彻底杀毒的，还必须删除用于启动 Blaster 的注册表键值。这个键值可以手动删除，但那样必须面临复杂的操作步骤以及面对众多客户端一一删除时的困扰。正是由于该公司把计算机的管理交给了 QND ，才避免了此种尴尬。 QND 具备了对 Windows 注册表以及 INI 文件的编辑功能，可远程更改、删除和设置客户端 PC 的注册表及 INI 文件的值。因为操作系统的不同，相应的注册表项的位置也不同，手动修改的工作量较大，而且在时间上也无法与病毒的疯狂传染相比，所以 QND 的广播式修改功能可以使你在突如其来的病毒面前抢得先机。 利用该项功能，公司的网络管理人员就 可以远程的删除病毒注册表键值。他所需做的，仅仅是在 GUI 界面上进行简单的设置，然后运行， QND 便可以自动的删除用于启动 Blaster 的注册表键值。

对于有大量客户端的公司来说，这点显得尤为重要，因为只有及时应付对注册表键值的恶意修改，才能避免病毒给公司带来的重大损失。不能不说，在“抗御冲击波”这一战中， QND 表现得相当出色。