-
衝擊波病毒
鎖定
衝擊波病毒是利用在2003年7月21日公佈的RPC漏洞進行傳播的,該病毒於當年8月爆發。病毒運行時會不停地利用IP掃描技術尋找網絡上系統為Win2000或XP的計算機,找到後就利用DCOM/RPC緩衝區漏洞攻擊該系統,一旦攻擊成功,病毒體將會被傳送到對方計算機中進行感染,使系統操作異常、不停重啓、甚至導致系統奔潰。另外,該病毒還會對系統升級網站進行拒絕服務攻擊,導致該網站堵塞,使用户無法通過該網站升級系統。只要是計算機上有RPC服務並且沒有打安全補丁的計算機都存在有RPC漏洞,具體涉及的操作系統是:Windows 2000\XP\Server 2003\NT4.0。
[1]
- 中文名
- 衝擊波病毒
- 外文名
- W32.Blaster.Worm
- 病毒類型
- 蠕蟲病毒
- 依賴系統
- WINDOWS 2000/XP
衝擊波病毒病毒機理
衝擊波病毒攻擊原理
2003年7月16日,發佈了“RPC接口中的緩衝區溢出”的漏洞補丁。該漏洞存在於RPC 中處理通過TCP/IP的消息交換的部分,攻擊者通過TCP135端口,向遠程計算機發送特殊形式的請求,允許攻擊者在目標機器上獲得完全的權限並以執行任意代碼。
[2]
該病毒充分利用了RPC/DCOM漏洞,首先使受攻擊的計算機遠程執行了病毒代碼;其次使RPCSS服務停止響應,PRC意外中止,從而產生由於PRC中止導致的一系列連鎖反應。針對RPC/DCOM漏洞所編寫的病毒代碼構成了整個病毒代碼中產生破壞作用的最重要的部分。
[2]
衝擊波病毒運作傳播
2.病毒運行時會將自身複製為:%systemdir%\msblast.exe,%systemdir%指的是操作系統安裝目錄中的系統目錄,默認為C:\Winnt\system32;緊接着病毒在註冊表HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加名為“windows auto update”的啓動項目,值為“msblast.exe”,使得每次啓動計算機時自動加載病毒。
[2]
4.具體的攻擊過程為:在感染病毒的計算機通過TCP135端口向那些被攻擊計算機發送攻擊代碼,被攻擊的計算機將在TCP4444端口開啓一個CommandShell。同時監聽UDP69端口,當接收到受攻擊的機器發來的允許使用DCOM RPC運行遠程指令的消息後,將發送Msblast.exe文件,並讓受攻擊的計算機執行它,至此受攻擊的計算機也感染了此病毒。
[2]
衝擊波病毒病毒構成
衝擊波病毒長6176bytes,是後門和蠕蟲功能混合型的病毒,包括三個組件:蠕蟲載體、TFTP服務器文件、攻擊模塊,病毒會下載並運行病毒文件msblast.exe。在這種混合型病毒中還隱藏地存在一段文本信息:
I just want to say LOVE YOU SAN !!
Bill gates why do you make this possible ?
Stop making money and fix your soft ware !!
衝擊波病毒病毒特徵
通過對沖擊波病毒的整個工作流程進行分析,可以歸納得到病毒的行為特徵:
2.利用系統、網絡應用服務漏洞:計算機系統存在漏洞是蠕蟲傳播的前提,利用這些漏洞,蠕蟲獲得被攻擊的計算機系統的相應權限,完成後繼的複製和傳播過程。正是由於漏洞產生原因的複雜性,導致面對蠕蟲的攻擊防不勝防。
[3]
3.造成網絡擁塞:蠕蟲進行傳播的第一步就是找到網絡上其它存在漏洞的計算機系統,這需要通過大面積的搜索來完成,搜索動作包括:判斷其它計算機是否存在;判斷特定應用服務是否存在;判斷漏洞是否存在。這不可避免的會產生附加的網絡數據流量。即使是不包含破壞系統正常工作的惡意代碼的蠕蟲,也會因為病毒產生了巨量的網絡流量,導致整個網絡癱瘓,造成經濟損失。
[3]
衝擊波病毒傳播模式
掃描模塊採用的掃描策略是:隨機選取某一段IP地址,然後對這一地址段上的主機掃描。病毒作者會對掃描策略進行一些改進,比如在IP地址段的選擇上,可以主要針對當前主機所在的網段掃描,對外網段則隨機選擇幾個小的IP地址段進行掃描。對掃描次數進行限制,只進行幾次掃描。把掃描分散在不同的時間段進行。
[4]
一旦確認漏洞存在後就可以進行相應的攻擊步驟,這一部關鍵的問題是對漏洞的理解和利用。攻擊成功後,是獲得一個遠程主機的shell,例如對win2k系統來説就是cmd.exe,得到這個shell後就擁有了對整個系統的控制權。
[4]
衝擊波病毒中毒症狀
由於RPC服務終止還可能造成其他的一些問題(因為許多功能都依賴於RPC服務),如:無法進行復制、粘貼,無法查看網絡屬性,某些文件夾顯示不正常,計算機“服務”管理不正常,無法使用IE“在新窗口中打開”,無法添加刪除程序等等不正常現象。
[2]
衝擊波病毒病毒變種
2003年8月29日晚9時,全球反病毒監測網率先截獲了衝擊波病毒的最新變種,並命名為:衝擊波V(Worm.Blaster.E)。據反病毒工程師分析,該病毒變種和前三個變種病毒一樣,沒有在原始病毒上做大的改動,傳染和破壞能力與“衝擊波”其它變種相同,這個變種病毒只是重新改變了病毒文件名稱和註冊表鍵值,企圖躲避殺毒軟件的查殺。據分析,新的變種病毒做了如下四處改動:
[5]
- 將病毒體內的字符串改為:I dedicate this particular strain to me ANG3L - hope yer enjoying yerself and dont forget the promise for me B/DAY [5] 而在病毒ochWorm.Blaster中為:I just want to say LOVE YOU SAN !! billy gates why do you make this possible ? Stop making money and fix your software !!
- 將對ochwindowsupdate.com進行拒絕服務攻擊改為對ochkimble.org進行拒絕服務攻擊; [5]
反病毒工程師判斷,這種改動的目的仍然是為了躲避殺毒軟件的追殺。該病毒編寫者是為了延長病毒的生命力,從而給自己爭取到推出病毒新版本的時間。衝擊波”病毒共產生了五個病毒體,分別為:Worm.Blaster,Worm.Blaster.B,Worm.Blaster.C,Worm.Blaster.D,Worm.Blaster.E。
[5]
衝擊波病毒病毒應對
衝擊波病毒病毒檢測
該病毒感染系統後,會使計算機產生下列現象:系統資源被大量佔用,有時會彈出RPC服務終止的對話框,並且系統反覆重啓,不能收發郵件、不能正常複製文件、無法正常瀏覽網頁,複製粘貼等操作受到嚴重影響,DNS和IIS服務遭到非法拒絕等。如果在自己的計算機中發現以上全部或部分現象,則很有可能中了衝擊波病毒。此時,計算機用户應該採取以下方式檢測:
[1]
1)檢查系統的system32\Wins目錄下是否存在DLLHOST.EXE文件(大小為20K)和SVCHOST.EXE文件,(注意:系統目錄裏也有一個DLLHOST.EXE文件,但此為正常文件,大小隻有8KB左右)如果存在這兩個文件説明計算機已經感染了“衝擊波殺手”病毒;
[1]
衝擊波病毒病毒清除
3.用户可以手動刪除該病毒文件。注意:%Windir%是一個變量,指的是操作系統安裝目錄,默認是:“C:\Windows”或:“c:\Winnt”,也可以是用户在安裝操作系統時指定的其它目錄。%systemdir%是一個變量,指的是操作系統安裝目錄中的系統目錄,默認是:“C:\Windows\system”或:“c:\Winnt\system32”。
[1]
4.病毒會修改註冊表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項,在其中加入:“windowsautoupdate”=“msblast.exe”,進行自啓動,用户可以手工清除該鍵值。
[1]
6.進入“管理工具”文件夾(在開始菜單或控制面板),運行組件服務,在左邊側欄點擊“服務(本地)”,找到RemoteProcedureCall(RPC),其描述為“提供終結點映射程序(endpointmapper)以及其它RPC服務”。雙擊進入恢復標籤頁,把第一二三次操作都設為“不操作”。
[6]
衝擊波病毒病毒預防
5.安裝專業的防毒軟件進行全面監控。在病毒日益增多的今天,使用殺毒軟件進行防毒,是越來越經濟的選擇,用户在安裝了反病毒軟件之後,應經常進行升級、將一些主要監控經常打開(如郵件監控),這樣才能真正保障計算機的安全。
[1]
- 參考資料
-
- 1. 許信玉. 從衝擊波病毒看蠕蟲的防範[J]. 有線電視技術,2003(10):71
- 2. 洪亮. 由衝擊波病毒談WindowsRPC/DCOM漏洞[J]. 揚州教育學院學報,2004(3):68.
- 3. 南開大學. 蠕蟲的行為特徵描述和工作原理分析[J]. 高等學校博士點學科點專項科研基金資助課題
- 4. 蠕蟲病毒的傳播技術原理 .中國安防網.2006-11-27[引用日期2014-11-22]
- 5. 全球反病毒監測網截獲第4個衝擊波病毒變種 .新華網.2003-08-31[引用日期2014-11-22]
- 6. 衝擊波(Worm.Blaster)病毒詳細解決方案 .北京信息技術網[引用日期2014-09-11]