病毒机制与防护管理策略.docVIP

1冲击波病毒档案 1.1病毒介绍 　　 警惕程度：★★★★ 　　发作时间：随机 　　病毒类型：蠕虫病毒 　　传播途径：网络/RPC漏洞 　 依赖系统:Microsoft Windows NT 4.0 / Microsoft Windows 2000/ Microsoft Windows XP/Microsoft Windows Server 2003 　　该病毒于2002年8月12日被瑞星全球反病毒监测网率先截获。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。在2002年8月16日以后，该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。 　　冲击波（Worm.Blaster）病毒是利用微软公司在7月21日公布的RPC漏洞进行传播的，只要是计算机上有冲击波病毒发作现象RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞，具体涉及的操作系统是：Windows2000、XP、Server 2003。 该病毒感染系统后，会使计算机产生下列现象：系统资源被大量占用，有时会弹出RPC服务终止的对话框，并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页，复制粘贴等操作受到严重破坏，且不能复制粘贴。 　　1. 病毒运行时会将自身复制到window目录下，并命名为：msblast.exe。 　　2. 病毒运行时会在系统中建立一个名为：“BILLY”的互斥量，目的是病毒只保证在内存中有一份病毒体，为了避免用户发现。 病毒运行时会在内存中建立一个名为：“msblast.exe”的进程，该进程就是活的病毒体。 HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft \Windows\CurrentVersion\Run中添加以下键值：windows auto update =msblast.exe，以便每次启动系统时，病毒都会运行。 　　5. 病毒体内隐藏有一段文本信息： 　　I just want to say LOVE YOU SAN!! 　 billy gates why do you make this possible ? Stop making money and fix your software!! 　　6. 病毒会以20秒为间隔，每20秒检测一次网络状态，当网络可用时，病毒会在本地的UDP/69端口上建立一个tftp服务器，并启动一个攻击传播线程，不断地随机生成攻击地址，进行攻击，另外该病毒攻击时，会首先搜索子网的IP地址，以便就近攻击。 　　7. 当病毒扫描到计算机后，就会向目标计算机的TCP/135端口发送攻击数据。 　　8. 当病毒攻击成功后，便会监听目标计算机的TCP/4444端口作为后门，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到目标计算机上并运行。 　　9. 当病毒攻击失败时，可能会造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003，但是可以造成Windows Server2003系统的RPC服务崩溃，默认情况下是系统反复重启。 10. 病毒检测到当前系统月份是8月之后或者日期是15日之后，就会向微软的更新站点发动拒绝服务攻击，使微软网站的更新站点无法为用户提供服务。 　　FBI称冲击波病毒作者是一18岁少年 　　据Sohu报道，一名美国官员周四证实，联邦调查局（FBI）已经认定了一名18岁的少年是危险的蠕虫“冲击波”变种病毒(Blaster.B)的作者，计划在周五早晨逮捕他。 　　这名要求匿名的官员说，现在还不知道这名18岁少年的身份和家庭住址，他被控编写了“冲击波”蠕虫病毒。预计联邦调查局和在西雅图的美国司法部长办公室将在周五透露细节，在美国东部时间下午4：30计划召开新闻发布会。美国司法部长办公室的发言人哈丁表示，目前还没有人因此事被捕。据说一名证人看到这名少年测试病毒感染情况，并打电话报了警。 　　所有“冲击波”变种都利用了微软Windows操作系统的一种漏洞，微软在7月16日承认这种漏洞后，美国政府和业界专家就估计会出现病毒爆发。赛门铁克表示，“冲击波”蠕虫及其变种感染了50多万台计算机。 　　冲击波变种病毒作者获刑18个月 　　曾编写并散布了“冲击波”变种蠕虫病毒的美国青年杰弗里·