冲击波病网络安全.pptVIP

主讲人： 病毒档案 警惕程度：★★★★ 病毒类型：蠕虫病毒 发作时间：随机 传播途径：网络/RPC漏洞 依赖系统： Windows 2000 Windows XP Windows Server 2003 RPC RPC（Remote Procedure Call Protocol） 远程过程调用协议 它是一种通过网络从远程计算机程序上请求服务。 病毒档案 警惕程度：★★★★ 发作时间：随机 病毒类型：蠕虫病毒 传播途径：网络/RPC漏洞 依赖系统： Windows 2000 Windows XP Windows Server 2003 病毒原理 利用微软公司公布的RPC漏洞进行传播的，只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞。 病毒运行时...... 不停地利用IP扫描技术寻找网络上系统为XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。 DCOM 分布式组件对象模型 微软软件的一系列程序接口，利用这个接口，客户端程序对象能够请求来自网络中另一台计算机上的服务器程序对象。分布式组件对象模型基于组件对象模型（COM），COM提供了一套允许同一台计算机上的客户端和服务器之间进行通信的接口。 病毒运行时...... 不停地利用IP扫描技术寻找网络上系统为XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。 病毒发作 系统资源被大量占用，并且系统反复重启，不能收发邮件、不能正常复制文件、无法正常浏览网页，复制粘贴等操作受到严重破坏，且不能复制粘贴，有时会弹出RPC服务终止的对话框。 病毒如何进行...... 1.将自身复制到window目录下，并命名为.msblast.exe。 ⒉ 病毒运行时会在系统中建立一个名为：“BILLY”的互斥量，目的是病毒只保证在内存中有一份病毒体，为了避免用户发现。 ⒊ 病毒运行时会在内存中建立一个名为：“msblast.exe”的进程，该进程就是活的病毒体。 ⒋ 病毒会修改注册表，以便每次启动系统时，病毒都会运行。 会以20秒为间隔，每20秒检测一次网络状态，当网络可用时，病毒会在本地建立一个服务器并启动一个攻击传播线程，不断地随机生成攻击地址，进行攻击。另外该病毒攻击时，会首先搜索子网的IP地址，以便就近攻击。当病毒扫描到计算机后，就会向目标计算机端口发送攻击数据。成功后，便会监听目标计算机的端口，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送命令，回连到发起进攻的主机，将msblast.exe传到目标计算机上并运行。 病毒如何进行...... 若失败——会造成没有打补丁的Windows系统RPC服务崩溃。 造成Windows Server2003系统的RPC服务崩溃， 默认情况下是系统反复重启。 有意思的是...... 病毒体内隐藏有一段文本信息： I just want to say LOVE YOU SAN!! 　　 Bill Gates why do you make this possible Stop making money and fix your software!! SAN:存储区域网络，是一种高速网络或子网络，提供在计算机与存储系统之间的数据传输 手工清除方案 DOS环境下清除该病毒： 　　⒈用DOS系统启动盘启动进入DOS环境下， 进入C盘的操作系统目录. 　　 操作命令集： 　 　C: 　　 CD C:\windows （或CD　c:\winnt) 　　⒉ 查找目录中的“msblast.exe”病毒文件。 　　 命令操作集： 　　 dir msblast.exe /s/p 　　⒊找到后进入病毒所在的子目录，然后直接将该病毒文件删除。 使用杀毒软件清除 推荐使用：瑞星杀毒 * * * * * * * * * * * * * * * * * * * * * *