近期,校园网发现大量异常UDP 流量发往校外,占用大量网络带宽,影响主干网络正常运行。网络中心将对产生大量UDP情况的用户采取强制措施,以保证其他用户的正常使用。如果用户使用BT等P2P工具时,请自觉限制上行流量,如果网络中心监控到IP的上行流量过大,造成外网堵塞情况,将对该IP地址锁定,终止其外网UDP协议的使用。
感染用户症状:
任务管理器中可以看到 有 Rpcd.exe 或 RpcS.exe 的进程在运行,并且以 SYSTEM 帐号启动。或者是 SYSTEM 帐号启动 的 IEXPLORE.EXE 进程。
在 系统服务 里面的 显示名称:Remote Procedure Call System(RPCS),伪装成正常系统服务。或者显示 Windows Createddos ,伪装成正常系统服务。
本地连接,上行流量明显过大。
用netstat -an命令,发现开放端口过多,特别是UDP开放的端口。
病毒在运行时后台调用IE程序进行连接病毒作者控制的服务器获取要攻击的IP列表,并接受控制指令对第三方IP地址发送UDP报文攻击。
病毒可执行文件路径 在
\WINDOWS\system32\RpcS.exe 和 \WINDOWS\system32\RpcS.dll 或
\WINDOWS\system32\Rpcd.exe 和 \WINDOWS\system32\Rpcd.dll 或
\WINDOWS\system32\ipci.exe
手动清除办法(重启机器,请在安全模式下操作):
1.在系统服务里面 禁用 Remote Procedure Call System(RPCS) 此系统服务(也许名称是 Windows Createddos )。
2.删除
\WINDOWS\system32\RpcS.exe
\WINDOWS\system32\RpcS.dll
或者
\WINDOWS\system32\Rpcd.exe
\WINDOWS\system32\Rpcd.dll
或者
\WINDOWS\system32\ipci.exe
3.
使用校内WSUS服务,给你操作系统打补丁,地址:http://wins.sicau.edu.cn 。下载系统清理软件,优化你的操作系统。比如:优化大师、恶意软件清理助手等系统优化工具。
4.
用带有最新病毒库的杀毒软件,对你的系统做一次安全检查。
提醒用户:
不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌
生可疑文件和程序,如邮件中的陌生附件等。
慎用BT,天网Maze等P2P软件下载.
由于种子发布的不确定性,很多程序或者影音文件可能被挂上木马以后在网上发布.
如果您下载运行了此类文件,就很可能被植入木马,导致电脑内敏感资料的泄漏.
以下是发现大量异常UDP 流量截图
