首先,陈悦——杀不死的萧蔷
“冲击波”电脑病毒(图片来自网络)
大东:小白,相信你经过一段时间的学习,对计算机网络安全有了一定的了解。
小白:这倒是真的。别的不敢说。我可以列举几种防止计算机安全的方法。
大东:哈哈,看来小白不再是那个“小白”了,所以我要考考你。如果电脑系统异常,不断重启,一般是什么情况?
小白:哦,恐怕我感染了病毒。查杀病毒,快速更新漏洞补丁。
大东:系统漏洞更新补丁没错,但是漏洞补丁更新不了怎么办?
小白:嗯?无法更新补丁?这是我的一个知识盲点,还有这个病毒?
大东:当然。
小白:麻烦董老哥给我讲讲这个病毒里的“钉子户”吧。看来“一日充电终身放电”在计算机网络安全上是不靠谱的,学无止境。
第二,“冲击波”病毒
大东:2003年7月21日,微软RPC漏洞公布,同年8月,爆发了针对该漏洞的病毒。这就是著名的“虫。Mlast”病毒事件。
小白:原来是臭名昭著的“冲击波”病毒。
大东:看来小白也知道了。
小白:没错!这种病毒是一种蠕虫病毒,它的变种至今仍然存在。很多人被骗了,电脑会一直重启。
大东:没错。被感染的系统运行异常,不断重启,严重时会导致系统崩溃。此外,该病毒还有很强的自我防御能力,就是无法更新刚才的补丁,是名副其实的2003年“毒王”。
冲击波病毒(图片来自网络)
大东:冲击波病毒的本质是后门和蠕虫病毒的混合体。起初,该病毒主要针对Win2000或XP系统,利用IP扫描技术查找这类计算机,然后利用DCOM/RPC缓冲区漏洞进行攻击。随着病毒的传播,感染对方电脑,导致对方出现系统异常、不断重启、无法复制粘贴、无法正常上网等问题。2003年8月11日,中国金山反病毒中心首次发现大量使用该漏洞系统的电脑在几天内被感染,给全球造成了数百亿美元的损失。
小白:由此可见,对世界的影响是如此强大,一个名副其实的冲击波。东哥,“冲击波”是怎么意识到补丁无法更新的?
大东:补丁无法更新是因为它具有对系统升级网站(windowsupdata.com)进行拒绝服务攻击(DdoS)的能力,导致网站拥堵,用户无法下载相关程序。除了Win2000和XP系统,Server和NT4.0也成为Shockwe设计的主要操作系统。
小白:东哥详细解释了原理。
大东:该病毒充分利用了RPC/DCOM漏洞,首先让被攻击的电脑远程执行病毒代码;其次,RPCSS服务停止响应,PRC意外暂停,导致PRC暂停引起的一系列连锁反应。针对RPC/DCOM漏洞编写的病毒代码构成了整个病毒代码中最重要的部分。
小白:冲击波的运作过程是怎样的?有什么特点?
大东:电脑系统被病毒感染后,病毒会自动建立一个互斥线程,名为“比利”。当病毒检测到系统中存在线程时,它不会在内存中重复停留,否则病毒会在内存中建立一个名为“mlast”的进程。
小白:听起来像是C语言程序。
大东:你还真猜对了。病毒运行时会将自身复制为:%systemdir% \ mlast.exe,%systemdir%是指操作系统安装目录中的系统目录,默认值为c:\ win nt \ system32;然后病毒在注册表HKEY-local-machine \ software \ Microsoft \ Windows \ current version \ Run下添加一个名为“windows auto update”的启动项,值为“mlast.exe”。简而言之,这使得病毒会在每次电脑启动时自动加载。
小白:你是如何实现进攻的?
大东:具体的攻击过程是,被感染的计算机通过TCP135端口向被攻击的计算机发送攻击代码,被攻击的计算机会在TCP4444端口打开一个CommandShell。同时,它监听UDP69端口。在从被攻击的机器接收到允许DCOM RPC运行远程指令的消息后,它将发送Mlast.exe文件并让被攻击的计算机执行它。被攻击的计算机也感染了这种病毒。
小白:我明白了。
第三,预防措施
小白:蠕虫病毒的特性不可低估。提到虫头就心痛。
大东:哈哈,不只是你。这种冲击波病毒对世界的影响有目共睹。这种病毒出现后,导致大量其他病毒利用这一漏洞,形成更大的病毒家族。其中,病毒“蠕虫。随后在8月18日的《KillMlast》也广为流传。
一旦它试图清除“蠕虫”。Mlast”病毒,它在系统中植入了简单的预防代码,并试图从微软网站下载补丁来修补被感染的系统。然而,该病毒随后启动数百个线程疯狂检测IP地址,并通过RPC漏洞快速传播,消耗大量CPU和网络资源,经常导致系统崩溃。
小白:前面有狼,后面有虎。
大东:不然你怎么说他难?如今,没有相应补丁的用户系统,只要一上网就会遭到这类病毒的攻击。冲击波病毒的变种仍然威胁着网络安全。
小白:来吧,东哥,告诉我该怎么处理。
冲击波补丁(图片来自网络)
大东:(1)“冲击波”病毒通过最新的RPC漏洞传播,用户最好先用RPC给系统打补丁。
(2)病毒运行时会建立一个名为“BILLY”的互斥体,防止病毒反复进入内存,病毒会在内存中建立一个名为“mlast”的进程,用户可以使用任务管理器终止病毒进程。
(3)用户可以手动删除病毒文件。注意:%Windir%是一个变量,指的是操作系统安装目录。默认为“c: \ Windows”或“c: \ winnt”,也可以是用户在安装操作系统时指定的其他目录。%systemdir%是一个变量,它指的是操作系统安装目录中的系统目录。默认值为“c: \ Windows \ system”或“c: \ winnt \ system32”。
(4)“冲击波”病毒会使用135、4444、69等端口。用户可以使用防火墙来禁止这些端口或使用“TCP/IP过滤”功能来禁止这些端口。
(5)进入“管理工具”文件夹(在开始菜单或控制面板),运行组件服务,点击左侧栏的“服务(本地)”,找到远程过程调用(RPC),描述为“提供端点映射器和其他RPC服务”。双击进入恢复页签,将第一、二、三次操作设置为“不操作”。
小白:太好了,非常详细。
资料来源:中国科学院计算技术研究所
温馨提示:近日,微信微信官方账号信息流改版。每个用户可以设置一个经常阅读的订阅号,以大卡片的形式展示。所以,如果不想错过“中科院之声”这篇文章,一定要做到以下几点:进入“中科院之声”微信官方账号→点击右上角菜单→选择“设为明星”。