病毒中的「釘子戶」——衝擊波

一、讖曰——打不死的小強

「衝擊波」計算機病毒（圖片來自網路）

大東：小白，經過前段時間的學習相信你對計算機網路安全也有了一定的了解。

小白：那可不，別的不敢說，就說計算機安全防範這一點我就能例舉出好幾種方法。

大東：哈哈，看來小白已經不再是那個「小白」了，那我可要考考你了。如果說計算機系統異常、不斷重啟一般是什麼情況呢？

小白：哎呀，怕是中了病毒了，趕緊殺毒、更新漏洞補丁。

大東：系統漏洞更新補丁是對的，但如果無法更新該漏洞補丁呢？

小白：啊？無法更新補丁？這可是我知識的盲區啊，還有這種病毒？

大東：那當然啦。

小白：還得麻煩東哥給我講講這個病毒中的「釘子戶」，看來「一日充電終身放電」在計算機網路安全方面是不可靠的，學海無涯啊。

二、「衝擊波」病毒

大東：2003年7月21日，微軟RPC漏洞被公布，同年8月一款針對此漏洞的病毒爆發。這即是著名的2003年「衝擊波」病毒事件（Worm.MsBlast）。

小白：原來是臭名昭著的「衝擊波」病毒啊。

大東：看來小白也是知道的。

小白：那是啊！這種病毒是一種蠕蟲病毒，它的變種至今仍有存活，不少人都曾中招，電腦會不停重啟。

大東：對的，中了這個病毒系統操作異常、不停的重啟，嚴重的話會導致系統崩潰。此外該病毒有很強的自我防衛能力，也就是剛才說的無法更新補丁，是2003年名副其實的「毒王」。

衝擊波病毒（圖片來自網路）

大東：衝擊波病毒的性質是後門和蠕蟲病毒的混合病毒。該病毒起初主要針對Win2000或是XP系統，利用IP掃描技術尋找此類計算機，然後利用DCOM/RPC緩衝區漏洞進行攻擊。隨著病毒體傳送感染對方計算機，使對方出現剛才說到的系統異常、不斷重啟、無法複製粘貼、無法正常上網等問題。2003年8月11日我國金山反病毒中心首次在國內發現，幾日之間感染了大量使用此漏洞系統的計算機，對全球造成數百億美元的損失。

小白：可見對全球的影響是多麼有衝擊力啊，名副其實的衝擊波啊。東哥，那「衝擊波」是怎麼實現無法更新補丁的？

大東：無法更新補丁，是因為其具備對對系統升級網站（windowsupdata.com）進行拒絕服務攻擊（DdoS）的能力，導致網站堵塞，阻止用戶下載相關程序。除了Win2000和XP系統，Server和NT4.0也成為「衝擊波」主要設計的操作系統。

小白：東哥詳細說下原理。

大東：該病毒充分利用了RPC/DCOM漏洞，首先使受攻擊的計算機遠程執行了病毒代碼；其次使RPCSS服務停止響應，PRC意外中止，從而產生由於PRC中止導致的一系列連鎖反應。針對RPC/DCOM漏洞所編寫的病毒代碼構成了整個病毒代碼中產生破壞作用的最重要的部分。

小白：衝擊波的運作過程是怎樣的？有什麼特點么？

大東：計算機系統被病毒感染後，病毒會自動建立一個名為「BILLY」的互斥線程，當病毒檢測到系統中有該線程的話則將不會重複駐入內存，否則病毒會在內存中建立一個名為「msblast」的進程。

小白：聽起來像是C語言程序呢。

大東：還真讓你猜對了。病毒運行時會將自身複製為：%systemdir%\msblast.exe，%systemdir%指的是操作系統安裝目錄中的系統目錄，默認為C：\Winnt\system32；緊接著病毒在註冊表HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加名「windows auto update」的啟動項目，值為「msblast.exe」，簡言之，這麼做使得每次啟動計算機時自動載入病毒。

小白：那是怎麼實現攻擊的呢？

大東：具體的攻擊過程是在感染病毒的計算機通過TCP135埠向那些被攻擊計算機發送攻擊代碼，被攻擊的計算機將在TCP4444埠開啟一個CommandShell。同時監聽UDP69埠，當接收到受攻擊的機器發來的允許使用DCOM RPC運行遠程指令的消息後，將發送Msblast.exe文件，並讓受攻擊的計算機執行它，受攻擊的計算機也感染了此病毒。

小白：原來如此。

三、防範措施

小白：蠕蟲病毒的特色可不容小覷啊，提起蠕蟲頭就疼。

大東：哈哈，何止是你啊，這個衝擊波病毒給世界帶來的衝擊可是有目共睹啊。該病毒出現後帶動出一大批利用此漏洞的其他病毒，形成了一個較大的病毒家族。其中緊跟其後於8月18日出現的「衝擊波剋星」（Worm.KillMsBlast）病毒也廣為流傳。

它一面試圖清除「衝擊波」（Worm.Msblast）病毒，在系統內種下簡易預防代碼，並嘗試從微軟網站下載補丁程序，為受感染的系統打上補丁。但該病毒緊接著就開啟上百個線程瘋狂探測IP地址，並通過RPC漏洞迅速傳播自己，消耗大量CPU和網路資源，常常導致系統死機。

小白：前有狼，後有虎啊。

大東：要不然怎麼說他難纏啊。時至今日，沒有安裝相應補丁程序的用戶系統只要一聯上網，很快就會受到這類病毒攻擊。衝擊波病毒的變種也依舊威脅著網路安全。

小白：得了，東哥告訴我怎麼對付它吧。

衝擊波補丁（圖片來自網路）

大東：（1）「衝擊波」病毒通過最新RPC漏洞進行傳播，因此用戶應先給系統打上RPC補丁。

（2）病毒運行時會建立一個名為：「BILLY」的互斥量，使病毒自身不重複進入內存，並且病毒在內存中建立一個名為：「msblast」的進程，用戶可以用任務管理器將該病毒進程終止。

（3）用戶可以手動刪除該病毒文件。注意：%Windir%是一個變數，指的是操作系統安裝目錄，默認是：「C：\Windows」或：「c：\Winnt」，也可以是用戶在安裝操作系統時指定的其它目錄。%systemdir%是一個變數，指的是操作系統安裝目錄中的系統目錄，默認是：「C：\Windows\system」或：「c：\Winnt\system32」。

（4）「衝擊波」病毒會用到135、4444、69等埠，用戶可以使用防火牆將這些埠禁止或者使用「TCP/IP篩選」功能，禁止這些埠。

（5）進入「管理工具」文件夾（在開始菜單或控制面板），運行組件服務，在左邊側欄點擊「服務（本地）」，找到RemoteProcedureCall（RPC），其描述為「提供終結點映射程序（endpointmapper）以及其它RPC服務」。雙擊進入恢復標籤頁，把第一二三次操作都設為「不操作」。

小白：好棒，講的超級詳細。

來源：中國科學院計算技術研究所

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！