警惕程度:★★★★ 發(fā)作時間:隨機 病毒類型:蠕蟲病毒 傳播途徑:網(wǎng)絡(luò)/RPC漏洞 依賴系統(tǒng):Microsoft Windows NT 4.0 / Microsoft Windows 2000/ Microsoft Windows XP/Microsoft Windows Server 2003病毒介紹 該病毒于2002年8月12日被瑞星全球反病毒監(jiān)測網(wǎng)率先截獲,。病毒運行時會不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Win2K或XP的計算機,,找到后就利用DCOM RPC緩沖區(qū)漏洞攻擊該系統(tǒng),一旦攻擊成功,,病毒體將會被傳送到對方計算機中進行感染,,使系統(tǒng)操作異常、不停重啟,、甚至導(dǎo)致系統(tǒng)崩潰,。另外,該病毒還會對微軟的一個升級網(wǎng)站進行拒絕服務(wù)攻擊,,導(dǎo)致該網(wǎng)站堵塞,,使用戶無法通過該網(wǎng)站升級系統(tǒng)。在2002年8月16日以后,,該病毒還會使被攻擊的系統(tǒng)喪失更新該漏洞補丁的能力,。病毒發(fā)作現(xiàn)象 沖擊波(Worm.Blaster)病毒是利用微軟公司在7月21日公布的RPC漏洞進行傳播的,只要是計算機上有  沖擊波病毒發(fā)作現(xiàn)象 RPC服務(wù)并且沒有打安全補丁的計算機都存在有RPC漏洞,,具體涉及的操作系統(tǒng)是:Windows2000,、XP、Server 2003,。 該病毒感染系統(tǒng)后,,會使計算機產(chǎn)生下列現(xiàn)象:系統(tǒng)資源被大量占用,有時會彈出RPC服務(wù)終止的對話框,,并且系統(tǒng)反復(fù)重啟, 不能收發(fā)郵件,、不能正常復(fù)制文件、無法正常瀏覽網(wǎng)頁,,復(fù)制粘貼等操作受到嚴重破壞,,且不能復(fù)制粘貼。病毒詳細說明 1. 病毒運行時會將自身復(fù)制到window目錄下,,并命名為: msblast.exe,。 2. 病毒運行時會在系統(tǒng)中建立一個名為:“BILLY”的互斥量,目的是病毒只保證在內(nèi)存中有一份病毒體,,為  沖擊波病毒的傳播 了避免用戶發(fā)現(xiàn),。 3. 病毒運行時會在內(nèi)存中建立一個名為:“msblast.exe”的進程,該進程就是活的病毒體,。 4. 病毒會修改注冊表,,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下鍵值:"windows auto update"="msblast.exe",,以便每次啟動系統(tǒng)時,病毒都會運行,。 5. 病毒體內(nèi)隱藏有一段文本信息: I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! 6. 病毒會以20秒為間隔,,每20秒檢測一次網(wǎng)絡(luò)狀態(tài),當(dāng)網(wǎng)絡(luò)可用時,,病毒會在本地的UDP/69端口上建立一個tftp服務(wù)器,,并啟動一個攻擊傳播線程,不斷地隨機生成攻擊地址,,進行攻擊,,另外該病毒攻擊時,會首先搜索子網(wǎng)的IP地址,,以便就近攻擊,。 7. 當(dāng)病毒掃描到計算機后,就會向目標(biāo)計算機的TCP/135端口發(fā)送攻擊數(shù)據(jù),。 8. 當(dāng)病毒攻擊成功后,,便會監(jiān)聽目標(biāo)計算機的TCP/4444端口作為后門,并綁定cmd.exe,。然后蠕蟲會連接到這個端口,,發(fā)送tftp命令,回連到發(fā)起進攻的主機,,將msblast.exe傳到目標(biāo)計算機上并運行,。 9. 當(dāng)病毒攻擊失敗時,可能會造成沒有打補丁的Windows系統(tǒng)RPC服務(wù)崩潰,,Windows XP系統(tǒng)可能會自動重啟計算機,。該蠕蟲不能成功攻擊Windows Server2003,但是可以造成Windows Server2003系統(tǒng)的RPC服務(wù)崩潰,,默認情況下是系統(tǒng)反復(fù)重啟。 10. 病毒檢測到當(dāng)前系統(tǒng)月份是8月之后或者日期是15日之后,,就會向微軟的更新站點"發(fā)動拒絕服務(wù)攻擊,,使微軟網(wǎng)站的更新站點無法為用戶提供服務(wù)。詳細解決方案手工清除方案 一,、 DOS環(huán)境下清除該病毒: 1.當(dāng)用戶中招出現(xiàn)以上現(xiàn)象后,,用DOS系統(tǒng)啟動盤啟動進入DOS環(huán)境下,進入C盤的操作系統(tǒng)目錄.  沖擊波病毒 操作命令集: C: CD C:\windows (或CD c:\winnt) 2. 查找目錄中的“msblast.exe”病毒文件,。 命令操作集: dir msblast.exe /s/p 3.找到后進入病毒所在的子目錄,,然后直接將該病毒文件刪除。 Del msblast.exe 二,、 在安全模式下清除病毒 如果用戶手頭沒有DOS啟動盤,,還有一個方法,,就是啟動系統(tǒng)后進入安全模式,然后搜索C盤,,查找  沖擊波病毒 msblast.exe文件,,找到后直接將該文件刪除,然后再次正常啟動計算機即可,。 利用工具解決方案 一,、 利用瑞星專殺工具清除病毒: 用戶直接點擊:網(wǎng)址,即可下載瑞星專殺工具,,進行病毒的清除工作使用殺毒軟件清除 瑞星的用戶可以直接到瑞星的網(wǎng)站上下載升級補丁包或者使用智能升級功能,,將瑞星殺毒軟件升級到15.48.01版本以上,然后打開所有的監(jiān)控,,并進行該病毒的清除,。  沖擊波病毒 三、 使用瑞星防火墻禁止病毒端口: 第一步:雙擊瑞星個人防火墻圖標(biāo),,調(diào)出瑞星個人防火墻界面:第二步:選擇“設(shè)置/設(shè)置規(guī)則”,,調(diào)出設(shè)置界面: 第三步:填寫TCP過濾規(guī)則,目的是過濾病毒使用的135和4444端口,。選擇“規(guī)則/添加規(guī)則”調(diào)出規(guī)則添加表,,按照下圖所示填寫規(guī)則,其它的選項選擇默認,然后點擊“添加”按鈕就添加了一個規(guī)則,,就可以對該病毒進行過濾了,。 第四步:填寫UDP過濾規(guī)則,目的是過濾病毒使用的69端口,。選擇“規(guī)則/添加規(guī)則”調(diào)出規(guī)則添加表,,按照下圖所示填寫規(guī)則,其它的選項選擇默認,,然后點擊“添加”按鈕就添加了一個規(guī)則,,就可以對該病毒進行過濾了。沖擊波V 警惕程度:★★★★★ 發(fā)作時間:隨機  沖擊波病毒 病毒類型:蠕蟲病毒 傳播途徑:網(wǎng)絡(luò)/RPC漏洞 依賴系統(tǒng): WINDOWS NT/2000/XP 病毒介紹 該變種病毒于2002年8月29日被瑞星全球反病毒監(jiān)測網(wǎng)國內(nèi)率先截獲,。該病毒變種在原始病毒上沒有做大的改動,,破壞力和“沖擊波”病毒相同,只是重新改變了病毒互斥量,、病毒文件名,、注冊表鍵值、攻擊網(wǎng)址和病毒體內(nèi)字符串,從而有效地躲避了殺毒軟件的追殺,。 病毒運行時會掃描網(wǎng)絡(luò),,尋找操作系統(tǒng)為WINDOWS NT、2000,、XP的計算機,,然后通過RPC漏洞進行感染,,并且綁定端口,危害系統(tǒng),。用戶感染了該病毒后,,計算機會出現(xiàn)各種異常情況,如:彈出RPC服務(wù)終止的對話框,、系統(tǒng)反復(fù)重啟,、不能收發(fā)郵件、不能正常復(fù)制文件,、無法正常瀏覽網(wǎng)頁,,復(fù)制粘貼等操作受到嚴重影響,DNS和IIS服務(wù)遭到非法拒絕服務(wù)等,,另外,,病毒大面積地泛濫還能使整個網(wǎng)絡(luò)系統(tǒng)癱瘓。 病毒體內(nèi)的字符串被改為:“I dedicate this particular strain to me ANG3L - hope yer enjoying yerself and don’t forget the promise for me B/DAY !!!!”,。 病毒攻擊的網(wǎng)站被改為 病毒的發(fā)現(xiàn)與清除 1. 病毒通過微軟的最新RPC漏洞進行傳播,,因此用戶應(yīng)先給系統(tǒng)打上RPC補丁。 2. 病毒運行時會建立一個名為:“SILLY”的互斥量,,使病毒自身不重復(fù)進入內(nèi)存,,并且病毒在內(nèi)存中建立一個名為:“mslaugh.exe”的進程,用戶可以用任務(wù)管理器將該病毒進程終止,。 3. 病毒運行時會將自身復(fù)制為:%systemdir%\ mslaugh.exe,用戶可以手動刪除該病毒文件,。 注意:%Windir%是一個變量,它指的是操作系統(tǒng)安裝目錄,,默認是:“C:\Windows”或:“c:\Winnt”,也可以是用戶在安裝操作系統(tǒng)時指定的其它目錄,。%systemdir%是一個變量,它指的是操作系統(tǒng)安裝目錄中的系統(tǒng)目錄,,默認是:“C:\Windows\system”或:“c:\Winnt\system32”,。 4. 病毒會修改注冊表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項,在其中加入:“Windows Automation = mslaugh.exe”,,進行自啟動,,用戶可以手工清除該鍵值。 5. 病毒會用到135,、4444、69等端口,,用戶可以使用防火墻軟件將這些端口禁止或者使用“TCP/IP篩選” 功能,,禁止這些端口。 6. 病毒體內(nèi)存在有以下內(nèi)容的字符串:“I dedicate this particular strain to me ANG3L - hope yer enjoying yerself and dont forget the promise for me B/DAY !!!!” 7. 病毒運行時會對網(wǎng)站發(fā)起拒絕式服務(wù)攻擊,。 用戶如果在自己的計算機中發(fā)現(xiàn)以上全部或部分現(xiàn)象,,則很有可能中了沖擊波V(Worm.Blaster.E)病毒,。為避免用戶遭受損失,瑞星公司已于截獲該病毒當(dāng)天就進行了升級,,瑞星殺毒軟件2003版,、瑞星在線殺毒、瑞星殺毒軟件“下載版”,,這三款產(chǎn)品每周三次同步升級,,15.50.20版已可清除此病毒,目前瑞星用戶只需及時升級手中的軟件即可徹底攔截此病毒,。 瑞星反病毒專家的安全建議 1. 建立良好的安全習(xí)慣,。例如:對一些來歷不明的郵件及附件不要打開,不要上一些不太了解的網(wǎng)站,、不要執(zhí)行從 Internet 下載后未經(jīng)殺毒處理的軟件等,,這些必要的習(xí)慣會使您的計算機更安全。 2. 關(guān)閉或刪除系統(tǒng)中不需要的服務(wù),。默認情況下,,許多操作系統(tǒng)會安裝一些輔助服務(wù),如FTP 客戶端,、Telnet和 Web 服務(wù)器,。這些服務(wù)為攻擊者提供了方便,而又對用戶沒有太大用處,,如果刪除它們,,就能大大減少被攻擊的可能性。 3. 經(jīng)常升級安全補丁,。據(jù)統(tǒng)計,,有80%的網(wǎng)絡(luò)病毒是通過系統(tǒng)安全漏洞進行傳播的,象紅色代碼,、尼姆達等病毒,,所以我們應(yīng)該定期到微軟網(wǎng)站去下載最新的安全補丁,以防范未然,。 4. 使用復(fù)雜的密碼,。有許多網(wǎng)絡(luò)病毒就是通過猜測簡單密碼的方式攻擊系統(tǒng)的,因此使用復(fù)雜的密碼,,將會大大提高計算機的安全系數(shù),。 5. 迅速隔離受感染的計算機。當(dāng)您的計算機發(fā)現(xiàn)病毒或異常時應(yīng)立刻斷網(wǎng),,以防止計算機受到更多的感染,,或者成為傳播源,再次感染其它計算機。 6. 了解一些病毒知識,。這樣就可以及時發(fā)現(xiàn)新病毒并采取相應(yīng)措施,,在關(guān)鍵時刻使自己的計算機免受病毒破壞:如果能了解一些注冊表知識,就可以定期看一看注冊表的自啟動項是否有可疑鍵值,;如果了解一些內(nèi)存知識,,就可以經(jīng)常看看內(nèi)存中是否有可疑程序,。 7. 最好是安裝專業(yè)的防毒軟件進行全面監(jiān)控,。在病毒日益增多的今天,使用毒軟件進行防毒,,是越來越經(jīng)濟的選擇,,不過用戶在安裝了反病毒軟件之后,應(yīng)該經(jīng)常進行升級,、將一些主要監(jiān)控經(jīng)常打開(如郵件監(jiān)控),、遇到問題要上報, 這樣才能真正保障計算機的安全,。沖擊波VI 警惕程度:★★★★★ 發(fā)作時間:隨機 病毒類型:蠕蟲病毒 傳播途徑:網(wǎng)絡(luò)/RPC漏洞 依賴系統(tǒng): WINDOWS NT/2000/XP 病毒介紹 2003年9月2日,,瑞星全球反病毒監(jiān)測網(wǎng)國內(nèi)率先截獲了沖擊波病毒的第六個變種--沖擊波VI(Worm.Blaster.F)。該變種的病毒代碼與“沖擊波V”大體相同,,只是個別代碼有變化,,因此瑞星殺毒軟件無需升級就可以自動攔截并查殺。 據(jù)瑞星反病毒工程師分析,,該病毒變種并不是“沖擊波”病毒作者本人編寫的,,而是一些好事者為了讓沖擊波繼續(xù)泛濫而進行改寫的,因此沒有給系統(tǒng)打上安全補丁的用戶應(yīng)立刻去微軟網(wǎng)站安裝相應(yīng)的安全補丁,。 該病毒和前三個變種病毒一樣,,沒有在原始病毒上做大的改動,傳染和破壞能力與"沖擊波"病毒相同,。作者將病毒體內(nèi)的字符更換為:“What You Should Know About the Blaster Worm and Its Variants.(你應(yīng)該了解沖擊波蠕蟲及其變種)”,,將病毒體換為:“enbiei.exe”,將病毒鍵值換為 "="enbiei.exe"”,,將攻擊的網(wǎng)站換為:“手中沒有殺毒軟件的用戶應(yīng)注意根據(jù)這些特征進行手工清除病毒,。 病毒的發(fā)現(xiàn)與清除 1. 病毒通過微軟的最新RPC漏洞進行傳播,因此用戶應(yīng)先給系統(tǒng)打上RPC補丁,。 2. 病毒會在內(nèi)存中建立一個名為:“enbiei.exe”的進程,,用戶可以用任務(wù)管理器將該病毒進程終止。 3. 病毒運行時會將自身復(fù)制為:%systemdir%\ enbiei.exe,用戶可以手動刪除該病毒文件,。 注意:%Windir%是一個變量,,它指的是操作系統(tǒng)安裝目錄,,默認是:“C:\Windows”或:“c:\Winnt”,也可以是用戶在安裝操作系統(tǒng)時指定的其它目錄。%systemdir%是一個變量,,它指的是操作系統(tǒng)安裝目錄中的系統(tǒng)目錄,默認是:“C:\Windows\system”或:“c:\Winnt\system32”,。 4. 病毒會修改注冊表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項,,在其中加入:“進行自啟動,用戶可以手工清除該鍵值,。 5. 病毒會用到tcp/135,、udp/69等端口,用戶可以使用防火墻軟件將這些端口禁止,。 6. 病毒體內(nèi)存在有以下內(nèi)容的字符串:“What You Should Know About the Blaster Worm and Its Variants.(你應(yīng)該了解沖擊波蠕蟲及其變種)”,。 7. 病毒運行時會對“網(wǎng)站發(fā)起SYN洪水攻擊。 用戶如果在自己的計算機中發(fā)現(xiàn)以上全部或部分現(xiàn)象,,則很有可能中了沖擊波VI(�Worm.Blaster.F)病毒,。由瑞星公司對“沖擊波”系列病毒的查殺代碼進行了優(yōu)化,用戶無需升級手中的軟件即可查殺該病毒,。瑞星殺毒軟件2003版,、瑞星在線殺毒、瑞星殺毒軟件“下載版”,,這三款產(chǎn)品每周三次同步升級,,15.48.10版已可清除此病毒,目前瑞星用戶只需升級到該版本即可徹底攔截此病毒,。 瑞星反病毒專家的安全建議 1. 建立良好的安全習(xí)慣,。例如:對一些來歷不明的郵件及附件不要打開,不要上一些不太了解的網(wǎng)站,、不要執(zhí)行從 Internet 下載后未經(jīng)殺毒處理的軟件等,,這些必要的習(xí)慣會使您的計算機更安全。 沖擊波病毒 2. 關(guān)閉或刪除系統(tǒng)中不需要的服務(wù),。默認情況下,,許多操作系統(tǒng)會安裝一些輔助服務(wù),如 FTP 客戶端,、Telnet 和 Web 服務(wù)器,。這些服務(wù)為攻擊者提供了方便,而又對用戶沒有太大用處,,如果刪除它們,,就能大大減少被攻擊的可能性。 3. 經(jīng)常升級安全補丁,。據(jù)統(tǒng)計,,有80%的網(wǎng)絡(luò)病毒是通過系統(tǒng)安全漏洞進行傳播的,象紅色代碼、尼姆達等病毒,,所以我們應(yīng)該定期到微軟網(wǎng)站去下載最新的安全補丁,,以防范未然。 4. 使用復(fù)雜的密碼,。有許多網(wǎng)絡(luò)病毒就是通過猜測簡單密碼的方式攻擊系統(tǒng)的,,因此使用復(fù)雜的密碼,將會大大提高計算機的安全系數(shù),。 5. 迅速隔離受感染的計算機,。當(dāng)您的計算機發(fā)現(xiàn)病毒或異常時應(yīng)立刻斷網(wǎng),以防止計算機受到更多的感染,,或者成為傳播源,,再次感染其它計算機。 6. 了解一些病毒知識,。這樣就可以及時發(fā)現(xiàn)新病毒并采取相應(yīng)措施,,在關(guān)鍵時刻使自己的計算機免受病毒破壞:如果能了解一些注冊表知識,就可以定期看一看注冊表的自啟動項是否有可疑鍵值,;如果了解一些內(nèi)存知識,,就可以經(jīng)常看看內(nèi)存中是否有可疑程序,。 7. 最好是安裝專業(yè)的防毒軟件進行全面監(jiān)控,。在病毒日益增多的今天,使用毒軟件進行防毒,,是越來越經(jīng)濟的選擇,,不過用戶在安裝了反病毒軟件之后,應(yīng)該經(jīng)常進行升級,、將一些主要監(jiān)控經(jīng)常打開(如郵件監(jiān)控),、遇到問題要上報, 這樣才能真正保障計算機的安全,。關(guān)于作者 FBI稱沖擊波病毒作者是一18歲少年 據(jù)Sohu報道,,一名美國官員周四證實,聯(lián)邦調(diào)查局(FBI)已經(jīng)認定了一名18歲的少年是危險的蠕蟲“沖擊波”變種病毒(Blaster.B)的作者,,計劃在周五早晨逮捕他,。 這名要求匿名的官員說,現(xiàn)在還不知道這名18歲少年的身份和家庭住址,,他被控編寫了“沖擊波”蠕蟲病毒,。預(yù)計聯(lián)邦調(diào)查局和在西雅圖的美國司法部長辦公室將在周五透露細節(jié),在美國東部時間下午4:30計劃召開新聞發(fā)布會,。美國司法部長辦公室的發(fā)言人哈丁表示,,目前還沒有人因此事被捕,。據(jù)說一名證人看到這名少年測試病毒感染情況,并打電話報了警,。 所有“沖擊波”變種都利用了微軟Windows操作系統(tǒng)的一種漏洞,,微軟在7月16日承認這種漏洞后,美國政府和業(yè)界專家就估計會出現(xiàn)病毒爆發(fā),。賽門鐵克表示,,“沖擊波”蠕蟲及其變種感染了50多萬臺計算機。 "沖擊波"變種病毒作者獲刑18個月 曾編寫并散布了“沖擊波”變種蠕蟲病毒的美國青年杰弗里·帕森,,2004年28日被美國西雅圖一家地方法院判處18 個月徒刑。法官說,,這對他已經(jīng)是從輕處罰了,。 據(jù)當(dāng)?shù)孛襟w報道,帕森,,是美國明尼蘇達州人,。2003年8月,他將“沖擊波”蠕蟲病毒改編成“沖擊波B”變種蠕蟲并在網(wǎng)上散布,,這一變種蠕蟲攻擊了至少4.8萬臺計算機,。兩個星期后,帕森在家中被美國聯(lián)邦調(diào)查局偵探抓獲,。 去年,,西雅圖地方法院判定帕森因“攻擊政府電腦”而有罪,他的最高刑期可能達10年,,外加25萬美元罰款,。但在28日的判決中,法官認為帕森犯罪很大程度上是因為“教養(yǎng)不當(dāng)”和“監(jiān)管疏忽”,,因而被判處了較短的刑期,。 根據(jù)法院的判決,帕森在輕罪監(jiān)獄服刑后,,還必須參加10個月社區(qū)勞動,,賠償損失,并有3年監(jiān)護期,,有關(guān)民事賠償?shù)穆犠C會將在2月舉行,。據(jù)微軟公司的律師估計,賠償額很可能高于100萬美元,。 “沖擊波”及其幾個變種借助網(wǎng)絡(luò)傳播,,并利用了微軟“視窗”操作系統(tǒng)的安全漏洞,被認為是破壞力最大的新型蠕蟲病毒之一,。根據(jù)微軟公司的統(tǒng)計數(shù)據(jù),,自2003年以來全球已有800萬至1600萬臺電腦被“沖擊波”及其各個變種襲擊,,但“沖擊波”蠕蟲原型的編寫者至今還沒有被發(fā)現(xiàn)。
|
