词条 | 冲击波病毒 |
释义 | § 病毒档案 警惕程度:★★★★ 发作时间:随机 病毒类型:蠕虫病毒 传播途径:网络/RPC漏洞 依赖系统:Microsoft Windows NT 4.0 / Microsoft Windows 2000 / Microsoft Windows XP /Microsoft Windows Server 2003 § 病毒介绍 该病毒于2002年8月12日被瑞星全球反病毒监测网率先截获。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。在2002年8月16日以后,该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。 § 病毒发作现象 冲击波(Worm.Blaster)病毒是利用微软公司在7月21日公布的RPC漏洞进行传播的,只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞,具体涉及的操作系统是:Windows2000、XP、Server 2003。 该病毒感染系统后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。下面是弹出RPC服务终止的对话框的现象: 冲击波病毒 § 病毒详细说明 1. 病毒运行时会将自身复制到window目录下,并命名为: msblast.exe。 冲击波病毒 2. 病毒运行时会在系统中建立一个名为:“BILLY”的互斥量,目的是病毒只保证在内存中有一份病毒体,为了避免用户发现。 3. 病毒运行时会在内存中建立一个名为:“msblast.exe”的进程,该进程就是活的病毒体。 4. 病毒会修改注册表,在HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run中添加以下键值:"windows auto update"="msblast.exe",以便每次启动系统时,病毒都会运行。 5. 病毒体内隐藏有一段文本信息: I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! 6. 病毒会以20秒为间隔,每20秒检测一次网络状态,当网络可用时,病毒会在本地的UDP/69端口上建立一个tftp服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,进行攻击,另外该病毒攻击时,会首先搜索子网的IP地址,以便就近攻击。 7. 当病毒扫描到计算机后,就会向目标计算机的TCP/135端口发送攻击数据。 8. 当病毒攻击成功后,便会监听目标计算机的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标计算机上并运行。 9. 当病毒攻击失败时,可能会造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003,但是可以造成Windows Server2003系统的RPC服务崩溃,默认情况下是系统反复重启。 10. 病毒检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击,使微软网站的更新站点无法为用户提供服务。 § 详细解决方案 手工清除方案: 一、 DOS环境下清除该病毒: 1.当用户中招出现以上现象后,用DOS系统启动盘启动进入DOS环境下,进入C盘的操作系统目录. 操作命令集: C: CD C:\\windows (或CD c:\\winnt) 2. 查找目录中的“msblast.exe”病毒文件。 命令操作集: dir msblast.exe /s/p 3.找到后进入病毒所在的子目录,然后直接将该病毒文件删除。 Del msblast.exe 二、 在安全模式下清除病毒 如果用户手头没有DOS启动盘,还有一个方法,就是启动系统后进入安全模式,然后搜索C盘,查找msblast.exe文件,找到后直接将该文件删除,然后再次正常启动计算机即可。 利用工具解决方案: 一、 利用瑞星专杀工具清除病毒: 用户直接点击:http://it.rising.com.cn/service/technology/RS_blaster.htm网址,即可下载瑞星专杀工具,进行病毒的清除工作 二、 使用瑞星杀毒软件清除病毒: 瑞星的用户可以直接到瑞星的网站上下载升级补丁包或者使用智能升级功能,将瑞星杀毒软件升级到15.48.01版本以上,然后打开所有的监控,并进行该病毒的清除。 三、 使用瑞星防火墙禁止病毒端口: 第一步:双击瑞星个人防火墙图标,调出瑞星个人防火墙界面:冲击波病毒 第二步:选择“设置/设置规则”,调出设置界面: 冲击波病毒 第三步:填写TCP过滤规则,目的是过滤病毒使用的135和4444端口。选择“规则/添加规则”调出规则添加表,按照下图所示填写规则,其它的选项选择默认,然后点击“添加”按钮就添加了一个规则,就可以对该病毒进行过滤了。冲击波病毒 第四步:填写UDP过滤规则,目的是过滤病毒使用的69端口。选择“规则/添加规则”调出规则添加表,按照下图所示填写规则,其它的选项选择默认,然后点击“添加”按钮就添加了一个规则,就可以对该病毒进行过滤了。冲击波病毒 § 变种介绍——冲击波V(Worm.Blaster.E) 警惕程度:★★★★★ 发作时间:随机 病毒类型:蠕虫病毒 传播途径:网络/RPC漏洞 依赖系统: WINDOWS NT/2000/XP 病毒介绍: 该变种病毒于2002年8月29日被瑞星全球反病毒监测网国内率先截获。该病毒变种在原始病毒上没有做大的改动,破坏力和“冲击波”病毒相同,只是重新改变了病毒互斥量、病毒文件名、注册表键值、攻击网址和病毒体内字符串,从而有效地躲避了杀毒软件的追杀。 病毒运行时会扫描网络,寻找操作系统为WINDOWS NT、2000、XP的计算机,然后通过RPC漏洞进行感染,并且绑定端口,危害系统。用户感染了该病毒后,计算机会出现各种异常情况,如:弹出RPC服务终止的对话框、系统反复重启、不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝服务等,另外,病毒大面积地泛滥还能使整个网络系统瘫痪。 病毒体内的字符串被改为:“I dedicate this particular strain to me ANG3L - hope yer enjoying yerself and don’t forget the promise for me B/DAY !!!!”。 病毒攻击的网站被改为:“kimble.org”。 病毒的发现与清除: 1. 病毒通过微软的最新RPC漏洞进行传播,因此用户应先给系统打上RPC补丁。 2. 病毒运行时会建立一个名为:“SILLY”的互斥量,使病毒自身不重复进入内存,并且病毒在内存中建立一个名为:“mslaugh.exe”的进程,用户可以用任务管理器将该病毒进程终止。 3. 病毒运行时会将自身复制为:%systemdir%\\ mslaugh.exe,用户可以手动删除该病毒文件。 注意:%Windir%是一个变量,它指的是操作系统安装目录,默认是:“C:\\Windows”或:“c:\\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:\\Windows\\system”或:“c:\\Winnt\\system32”。 4. 病毒会修改注册表的HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run项,在其中加入:“Windows Automation = mslaugh.exe”,进行自启动,用户可以手工清除该键值。 5. 病毒会用到135、4444、69等端口,用户可以使用防火墙软件将这些端口禁止或者使用“TCP/IP筛选” 功能,禁止这些端口。 6. 病毒体内存在有以下内容的字符串:“I dedicate this particular strain to me ANG3L - hope yer enjoying yerself and dont forget the promise for me B/DAY !!!!” 7. 病毒运行时会对“kimble.org”网站发起拒绝式服务攻击。 用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了冲击波V(Worm.Blaster.E)病毒。为避免用户遭受损失,瑞星公司已于截获该病毒当天就进行了升级,瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”,这三款产品每周三次同步升级,15.50.20版已可清除此病毒,目前瑞星用户只需及时升级手中的软件即可彻底拦截此病毒。 瑞星反病毒专家的安全建议: 1. 建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。 2. 关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。 3. 经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。 4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。 5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。 6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。 7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报, 这样才能真正保障计算机的安全。 § 变种介绍——冲击波VI(Worm.Blaster.F) 警惕程度:★★★★★ 发作时间:随机 病毒类型:蠕虫病毒 传播途径:网络/RPC漏洞 依赖系统: WINDOWS NT/2000/XP 病毒介绍: 2003年9月2日,瑞星全球反病毒监测网国内率先截获了冲击波病毒的第六个变种--冲击波VI(Worm.Blaster.F)。该变种的病毒代码与“冲击波V”大体相同,只是个别代码有变化,因此瑞星杀毒软件无需升级就可以自动拦截并查杀。 据瑞星反病毒工程师分析,该病毒变种并不是“冲击波”病毒作者本人编写的,而是一些好事者为了让冲击波继续泛滥而进行改写的,因此没有给系统打上安全补丁的用户应立刻去微软网站(www.microsoft.com/china/)安装相应的安全补丁。 该病毒和前三个变种病毒一样,没有在原始病毒上做大的改动,传染和破坏能力与"冲击波"病毒相同。作者将病毒体内的字符更换为:“What You Should Know About the Blaster Worm and Its Variants.(你应该了解冲击波蠕虫及其变种)”,将病毒体换为:“enbiei.exe”,将病毒键值换为:“"www.hidro.4t.com "="enbiei.exe"”,将攻击的网站换为:“tuiasi.ro”,手中没有杀毒软件的用户应注意根据这些特征进行手工清除病毒。 病毒的发现与清除: 1. 病毒通过微软的最新RPC漏洞进行传播,因此用户应先给系统打上RPC补丁。 2. 病毒会在内存中建立一个名为:“enbiei.exe”的进程,用户可以用任务管理器将该病毒进程终止。 3. 病毒运行时会将自身复制为:%systemdir%\\ enbiei.exe,用户可以手动删除该病毒文件。 注意:%Windir%是一个变量,它指的是操作系统安装目录,默认是:“C:\\Windows”或:“c:\\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:\\Windows\\system”或:“c:\\Winnt\\system32”。 4. 病毒会修改注册表的HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run项,在其中加入:“www.hidro.4t.com=enbiei.exe”,进行自启动,用户可以手工清除该键值。 5. 病毒会用到tcp/135、udp/69等端口,用户可以使用防火墙软件将这些端口禁止。 6. 病毒体内存在有以下内容的字符串:“What You Should Know About the Blaster Worm and Its Variants.(你应该了解冲击波蠕虫及其变种)”。 7. 病毒运行时会对“tuiasi.ro”网站发起SYN洪水攻击。 用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了冲击波VI(Worm.Blaster.F)病毒。由瑞星公司对“冲击波”系列病毒的查杀代码进行了优化,用户无需升级手中的软件即可查杀该病毒。瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”,这三款产品每周三次同步升级,15.48.10版已可清除此病毒,目前瑞星用户只需升级到该版本即可彻底拦截此病毒。 瑞星反病毒专家的安全建议: 1. 建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。 冲击波病毒 2. 关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。 3. 经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。 4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。 5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。 6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。 7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报, 这样才能真正保障计算机的安全。 § 关于作者 FBI称冲击波病毒作者是一18岁少年 据Sohu报道,一名美国官员周四证实,联邦调查局(FBI)已经认定了一名18岁的少年是危险的蠕虫“冲击波”变种病毒(Blaster.B)的作者,计划在周五早晨逮捕他。 这名要求匿名的官员说,现在还不知道这名18岁少年的身份和家庭住址,他被控编写了“冲击波”蠕虫病毒。预计联邦调查局和在西雅图的美国司法部长办公室将在周五透露细节,在美国东部时间下午4:30计划召开新闻发布会。美国司法部长办公室的发言人哈丁表示,目前还没有人因此事被捕。据说一名证人看到这名少年测试病毒感染情况,并打电话报了警。 所有“冲击波”变种都利用了微软Windows操作系统的一种漏洞,微软在7月16日承认这种漏洞后,美国政府和业界专家就估计会出现病毒爆发。赛门铁克表示,“冲击波”蠕虫及其变种感染了50多万台计算机。 "冲击波"变种病毒作者获刑18个月 曾编写并散布了“冲击波”变种蠕虫病毒的美国青年杰弗里·帕森,2004年28日被美国西雅图一家地方法院判处18 杰弗里·李·帕森个月徒刑。法官说,这对他已经是从轻处罚了。 据当地媒体报道,帕森,是美国明尼苏达州人。2003年8月,他将“冲击波”蠕虫病毒改编成“冲击波B”变种蠕虫并在网上散布,这一变种蠕虫攻击了至少4.8万台计算机。两个星期后,帕森在家中被美国联邦调查局侦探抓获。 去年,西雅图地方法院判定帕森因“攻击政府电脑”而有罪,他的最高刑期可能达10年,外加25万美元罚款。但在28日的判决中,法官认为帕森犯罪很大程度上是因为“教养不当”和“监管疏忽”,因而被判处了较短的刑期。 根据法院的判决,帕森在轻罪监狱服刑后,还必须参加10个月社区劳动,赔偿损失,并有3年监护期,有关民事赔偿的听证会将在2月举行。据微软公司的律师估计,赔偿额很可能高于100万美元。 “冲击波”及其几个变种借助网络传播,并利用了微软“视窗”操作系统的安全漏洞,被认为是破坏力最大的新型蠕虫病毒之一。根据微软公司的统计数据,自2003年以来全球已有800万至1600万台电脑被“冲击波”及其各个变种袭击,但“冲击波”蠕虫原型的编写者至今还没有被发现。 § 相关下载 “冲击波(Worm.Blaster)”专杀工具下载 http://download.rising.com.cn/zsgj/ravzerg.exe “RPC漏洞”补丁下载 http://it.rising.com.cn/newSite/Channels/Safety/LatestHole/Hole_Windows/200308/12-164011274.htm |
随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。