沖擊波病毒:計算機網絡病毒-中文百科頻道

病毒機理

攻擊原理

2003年7月16日，發布了“RPC接口中的緩沖區溢出”的漏洞補丁。該漏洞存在于RPC中處理通過TCP/IP的消息交換的部分，攻擊者通過TCP135端口，向遠程計算機發送特殊形式的請求，允許攻擊者在目标機器上獲得完全的權限并以執行任意代碼。

該病毒充分利用了RPC/DCOM漏洞，首先使受攻擊的計算機遠程執行了病毒代碼；其次使RPCSS服務停止響應，PRC意外中止，從而産生由于PRC中止導緻的一系列連鎖反應。針對RPC/DCOM漏洞所編寫的病毒代碼構成了整個病毒代碼中産生破壞作用的最重要的部分。

運作傳播

1.計算機系統被病毒感染後，病毒會自動建立一個名為“BILLY”的互斥線程，當病毒檢測到系統中有該線程的話則将不會重複駐入内存，否則病毒會在内存中建立一個名為“msblast”的進程。

2.病毒運行時會将自身複制為：%systemdir%msblast.exe，%systemdir%指的是操作系統安裝目錄中的系統目錄，默認為C：Winntsystem32；緊接着病毒在注冊表HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加名為“windows auto update”的啟動項目，值為“msblast.exe”，使得每次啟動計算機時自動加載病毒。

3.病毒隐藏後，感染病毒的計算機嘗試連接20個随機的IP地址，并且對存在RPC/DCOM漏洞的計算機進行攻擊，完成後該病毒會休息1.8秒，然後繼續掃描下20個随機的IP地址，并進行攻擊。

4.具體的攻擊過程為：在感染病毒的計算機通過TCP135端口向那些被攻擊計算機發送攻擊代碼，被攻擊的計算機将在TCP4444端口開啟一個CommandShell。同時監聽UDP69端口，當接收到受攻擊的機器發來的允許使用DCOM RPC運行遠程指令的消息後，将發送Msblast.exe文件，并讓受攻擊的計算機執行它，至此受攻擊的計算機也感染了此病毒。

5.如果當前日期是8月或者當月日期是15日以後，病毒還會發起對windowsupdate.com的拒絕服務攻擊（DdoS）。

病毒構成

沖擊波病毒長6176bytes，是後門和蠕蟲功能混合型的病毒，包括三個組件：蠕蟲載體、TFTP服務器文件、攻擊模塊，病毒會下載并運行病毒文件msblast.exe。在這種混合型病毒中還隐藏地存在一段文本信息：

I just want to say LOVE YOU SAN !!

Bill gates why do you make this possible ?

Stop making money and fix your soft ware !!

病毒特征

通過對沖擊波病毒的整個工作流程進行分析，可以歸納得到病毒的行為特征：

1.主動攻擊：蠕蟲在本質上已經演變為黑客入侵的自動化工具，當蠕蟲被釋放（release）後，從搜索漏洞，到利用搜索結果攻擊系統，到複制副本，整個流程全由蠕蟲自身主動完成。

2.利用系統、網絡應用服務漏洞：計算機系統存在漏洞是蠕蟲傳播的前提，利用這些漏洞，蠕蟲獲得被攻擊的計算機系統的相應權限，完成後繼的複制和傳播過程。正是由于漏洞産生原因的複雜性，導緻面對蠕蟲的攻擊防不勝防。

3.造成網絡擁塞：蠕蟲進行傳播的第一步就是找到網絡上其它存在漏洞的計算機系統，這需要通過大面積的搜索來完成，搜索動作包括：判斷其它計算機是否存在；判斷特定應用服務是否存在；判斷漏洞是否存在。這不可避免的會産生附加的網絡數據流量。即使是不包含破壞系統正常工作的惡意代碼的蠕蟲，也會因為病毒産生了巨量的網絡流量，導緻整個網絡癱瘓，造成經濟損失。

4.反複性：即使清除了蠕蟲在文件系統中留下的任何痕迹，如果沒有修補計算機系統漏洞，重新接入到網絡中的計算機還是會被重新感染。

5.破壞性：從蠕蟲的曆史發展過程可以看到，越來越多的蠕蟲開始包含惡意代碼，破壞被攻擊的計算機系統，而且造成的經濟損失數目越來越大。

傳播模式

沖擊波的傳播模式為：掃描-攻擊-複制。

掃描模塊采用的掃描策略是：随機選取某一段IP地址，然後對這一地址段上的主機掃描。病毒作者會對掃描策略進行一些改進，比如在IP地址段的選擇上，可以主要針對當前主機所在的網段掃描，對外網段則随機選擇幾個小的IP地址段進行掃描。對掃描次數進行限制，隻進行幾次掃描。把掃描分散在不同的時間段進行。

掃描策略設計的原則有三點：盡量減少重複的掃描，使掃描發送的數據包總量減少到最小；保證掃描複蓋到盡量大的範圍；處理好掃描的時間分布，使得掃描不要集中在某一時間内發生。

一旦确認漏洞存在後就可以進行相應的攻擊步驟，這一部關鍵的問題是對漏洞的理解和利用。攻擊成功後，是獲得一個遠程主機的shell，例如對win2k系統來說就是cmd.exe，得到這個shell後就擁有了對整個系統的控制權。

複制過程有很多種方法，可以利用系統本身的程序實現，也可以用病毒自代的程序實現。複制過程實際上就是一個文件傳輸的過程，實現網絡文件傳輸很簡單。

中毒症狀

由于RPC/DCOM漏洞，RPCSS服務停止響應，操作系統不斷報告“PRC意外中止，系統重新啟動”，客戶機頻繁重啟，同時所有網絡服務均出現故障，如IE浏覽器打不開，OUTLOOK無法使用等。

由于RPC服務終止還可能造成其他的一些問題（因為許多功能都依賴于RPC服務），如：無法進行複制、粘貼，無法查看網絡屬性，某些文件夾顯示不正常，計算機“服務”管理不正常，無法使用IE“在新窗口中打開”，無法添加删除程序等等不正常現象。

病毒變種

2003年8月29日晚9時，全球反病毒監測網率先截獲了沖擊波病毒的最新變種，并命名為：沖擊波V（Worm.Blaster.E）。據反病毒工程師分析，該病毒變種和前三個變種病毒一樣，沒有在原始病毒上做大的改動，傳染和破壞能力與“沖擊波”其它變種相同，這個變種病毒隻是重新改變了病毒文件名稱和注冊表鍵值，企圖躲避殺毒軟件的查殺。據分析，新的變種病毒做了如下四處改動：

将病毒體内的字符串改為：I dedicate this particular strain to me ANG3L - hope yer enjoying yerself and dont forget the promise for me B/DAY

将原來的互拆量ochBILLY改為ochSILLY；

将對ochwindowsupdate.com進行拒絕服務攻擊改為對ochkimble.org進行拒絕服務攻擊；

将注冊表中添加的鍵值改為HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunWindowsAutomation=mslaugh.exe原為：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunWindowsautoupdate=msblast.exe

反病毒工程師判斷，這種改動的目的仍然是為了躲避殺毒軟件的追殺。該病毒編寫者是為了延長病毒的生命力，從而給自己争取到推出病毒新版本的時間。到目前為止，“沖擊波”病毒共産生了五個病毒體，分别為：Worm.Blaster，Worm.Blaster.B，Worm.Blaster.C，Worm.Blaster.D，Worm.Blaster.E。

變種類型

微軟公司最初發現“沖擊波”蠕蟲病毒大規模爆發在2003年8月11日，專家同時也檢測到變種病毒，其中一個被重新命名為“teekids.exe”，被稱為“沖擊波”B型變種。

該變種“沖擊波”病毒是由美國明尼蘇達州霍普金斯市傑弗裡·李·帕森所編寫，“沖擊波”在全球範圍内感染了50多萬台電腦，大批電腦癱瘓和網絡連接速度減慢。“沖擊波”變種病毒主要利用微軟“視窗”操作系統的一個漏洞進行傳播，裝有“視窗XP”或“視窗2000”操作系統的電腦易感染。

“沖擊波”病毒襲擊的美國聯邦調查局和國土安全部下屬的特工處在明尼蘇達州霍普金斯市逮捕了一名18歲的少年（叫傑弗裡·李·帕森）。承認制造并傳播“沖擊波”蠕蟲病毒的一個變種，已被指控有意或試圖破壞受保護的電腦。

陸續出現：沖擊波II（Worm.Blaster.B）、沖擊波III（Worm.Blaster.C）。

如何清除

利用DOS系統啟動盤啟動進入DOS環境，進入C盤的操作系統目錄。C：CD C:windows （或CDc:winnt）。查找目錄中的“msblast.exe”病毒文件。dirmsblast.exe /s/p。進入病毒所在的子目錄，删除病毒文件。Del msblast.exe。

啟動系統後按F8進入安全模式，C盤查找msblast.exe文件，直接删除文件，重啟系統即可正常使用。

其他相關

正是由于計算機病毒的危害作用強大，才有這麼多的殺毒軟件、計算機保護方式。計算機病毒的的危害主要有哪些，我們如何防治計算機病毒的危害，在這樣計算機病毒的危害泛濫的情況下我們還敢不敢使用遠程控制軟件，遠程控制軟件安全性能達到幾何才能讓人放心使用。

網絡人遠程控制軟件安全級别遠高于同行業，且不論它通過了國内各大安全廠商的安全檢測認證，更是在2011年12月獲得國家公安部安全監測認證以及銷售許可證雙重認證，并且是國内唯一一款使用U盾銀行安全級别的遠程控制軟件。在這個計算機病毒的危害不斷爆出來的時代，網絡人遠程控制軟件無異于給慌張的人們一劑鎮心劑。

病毒應對

病毒檢測

該病毒感染系統後，會使計算機産生下列現象：系統資源被大量占用，有時會彈出RPC服務終止的對話框，

并且系統反複重啟，不能收發郵件、不能正常複制文件、無法正常浏覽網頁，複制粘貼等操作受到嚴重影響，DNS和IIS服務遭到非法拒絕等。如果在自己的計算機中發現以上全部或部分現象，則很有可能中了沖擊波病毒。此時，計算機用戶應該采取以下方式檢測：

1）檢查系統的system32Wins目錄下是否存在DLLHOST.EXE文件（大小為20K）和SVCHOST.EXE文件，（注意：系統目錄裡也有一個DLLHOST.EXE文件，但此為正常文件，大小隻有8KB左右）如果存在這兩個文件說明計算機已經感染了“沖擊波殺手”病毒；

2）在任務管理器中查看是否有三個或三個以上DLLHOST.EXE的進程，如果有此進程說明計算機已經感染了此病毒。

病毒清除

1.病毒通過最新RPC漏洞進行傳播，因此用戶應先給系統打上RPC補丁。

2.病毒運行時會建立一個名為：“BILLY”的互斥量，使病毒自身不重複進入内存，并且病毒在内存中建立一個名為：“msblast”的進程，用戶可以用任務管理器将該病毒進程終止。

3.用戶可以手動删除該病毒文件。注意：%Windir%是一個變量，指的是操作系統安裝目錄，默認是：“C：Windows”或：“c：Winnt”，也可以是用戶在安裝操作系統時指定的其它目錄。%systemdir%是一個變量，指的是操作系統安裝目錄中的系統目錄，默認是：“C：Windowssystem”或：“c：Winntsystem32”。

4.病毒會修改注冊表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun項，在其中加入：“windowsautoupdate”=“msblast.exe”，進行自啟動，用戶可以手工清除該鍵值。

5.病毒會用到135、4444、69等端口，用戶可以使用防火牆将這些端口禁止或者使用“TCP/IP篩選”功能，禁止這些端口。

6.進入“管理工具”文件夾（在開始菜單或控制面闆），運行組件服務，在左邊側欄點擊“服務（本地）”，找到RemoteProcedureCall（RPC），其描述為“提供終結點映射程序（endpointmapper）以及其它RPC服務”。雙擊進入恢複标簽頁，把第一二三次操作都設為“不操作”。