冲击波震荡波剖析.pptVIP

冲 击 波 震 荡 波主讲人:刘洁球 成员 徐奇鹏、吕春雪、南啻丹丹、薛鸿佳、王志强张宇翔  目录 1冲击波简介 冲击波工作原理 震荡波简介 震荡波工作原理  冲击波简介 概念: 冲击波( Worm. Blaster)病毒是利用微软公司在7月21 日公布的RPC漏洞进行传播的,只要是计算机上有 RPc服务并且没有打安全补丁的计算机都存在有RPC 漏洞,具体涉及的操作系统是: Windows2000、XP Server 2003 心病毒档案分病案 警惕程度:★★★★ 病毒类型:虫病毒 传播途径:网络/RPC漏洞 依赖系统: Microsoft windows nt40/ Microsoft Windows 2000/ Microsoft Windows xP/Microsoft ndows s  冲击波简介 e该病毒于2002年8月12日被增星全球反病毒监测网率先 病毒运行时会不停地利用P扫描技术寻找网络 病毒介绍 为Win2K或XP的计算机,找到后就利用DCOM PC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将 被传送到对方计算机中进行感染,使系统操作异常 停重启、甚至导致系统崩溃。另外,该病毒还会对徹 软的一个升级网站进行拒绝服务攻击,导致该网站堵塞 在2002年8月16日 后,该病毒还会使被攻击的系统丧失更新该漏洞补丁的 冲击波( Worm. Blaster)病毒 可在7月21日 发作现象 PC服务并且没有打安全补丁 RPC漏 具体涉及的操作系统是 erver 2003 病毒感染系统后,会使计算机产生下列现象:系统资源 量占用,有时会弹出RPC服务终止的对话框,并且系 反复重启,不能收发邮件、不能正常复制文件、无法正 常浏览网页,复制粘贴等操作受到严重帔坏,且不能复制  冲击波工作原理 Let me tell you 运行时会将自身复制到 windows目录下,命名为: msblast.exe进程,该进程是 活的病毒体。病毒运行时会在系统中建立一个名为:“BLLY的互斥量,在内存中保存 OCAL MACHINE SOF TWARE\Microsoft\Windows CurrentVersion\ Run) 中添加值: windows auto update= msblast.exe,每次启动系统时,病毒便会自动运 该病毒以20秒检测一次网路状态,网落可用时,病毒会在本地的UDP门上建m 服务器,启动攻传播线程,随机生成攻击地址。病毒扫描到计算札后,会向目标计算 机的TCP135端口发送攻击数 攻击成功后,日标计算机的TCP/4444端口作为监听后门,绑定 cmd. exe。蠕虫会连接 刂这个端口,发送tt命令,回连到日标主机,将 msblast. exe传到日标计算机上并自动 运行。该病毒攻击失败时,会造成没有打补丁的 Windows系统RPC服务崩溃 Windows xF系统会自动重启计算机。 感染该蠕虫病毒后会出现以下现象,Word、Exce、 Powerpoint等文件无法正常运行 惮出找不到链接文件的对话框,一些功能如“粘帖”等无法正常使用,控制面板出觋异 系统文件无法正常显示、 Windows界面下的玏能无法正常使用、计算机反复重新启 动等现象