衝擊波

計算機病毒“衝擊波”

衝擊波病毒是利用在2003年7月21日公布的RPC漏洞進行傳播的,該病毒於當年8月爆發。病毒運行時會不停地利用IP掃描技術尋找網路上系統為Win2000或XP的計算機,找到后就利用DCOM/RPC緩衝區漏洞攻擊該系統,一旦攻擊成功,病毒體將會被傳送到對方計算機中進行感染,使系統操作異常、不停重啟、甚至導致系統奔潰。另外,該病毒還會對系統升級網站進行拒絕服務攻擊,導致該網站堵塞,使用戶無法通過該網站升級系統。只要是計算機上有RPC服務並且沒有打安全補丁的計算機都存在有RPC漏洞,具體涉及的操作系統是:Windows 2000\XP\Server 2003\NT4.0。

病毒機理


攻擊原理

製造衝擊波變種的少年
製造衝擊波變種的少年
2003年7月16日,發布了“RPC介面中的緩衝區溢出”的漏洞補丁。該漏洞存在於RPC 中處理通過TCP/IP的消息交換的部分,攻擊者通過TCP135埠,向遠程計算機發送特殊形式的請求,允許攻擊者在目標機器上獲得完全的許可權並以執行任意代碼。
該病毒充分利用了RPC/DCOM漏洞,首先使受攻擊的計算機遠程執行了病毒代碼;其次使RPCSS服務停止響應,PRC意外中止,從而產生由於PRC中止導致的一系列連鎖反應。針對RPC/DCOM漏洞所編寫的病毒代碼構成了整個病毒代碼中產生破壞作用的最重要的部分。

運作傳播

衝擊波[計算機病毒“衝擊波”]
衝擊波[計算機病毒“衝擊波”]
1.計算機系統被病毒感染后,病毒會自動建立一個名為“BILLY”的互斥線程,當病毒檢測到系統中有該線程的話則將不會重複駐入內存,否則病毒會在內存中建立一個名為“msblast”的進程。
2.病毒運行時會將自身複製為:%systemdir%\msblast.exe,%systemdir%指的是操作系統安裝目錄中的系統目錄,默認為C:\Winnt\system32;緊接著病毒在註冊表HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加名為“windows auto update”的啟動項目,值為“msblast.exe”,使得每次啟動計算機時自動載入病毒。
3.病毒隱藏后,感染病毒的計算機嘗試連接20個隨機的IP地址,並且對存在RPC/DCOM漏洞的計算機進行攻擊,完成後該病毒會休息1.8秒,然後繼續掃描下20個隨機的IP地址,並進行攻擊。
4.具體的攻擊過程為:在感染病毒的計算機通過TCP135埠向那些被攻擊計算機發送攻擊代碼,被攻擊的計算機將在TCP4444埠開啟一個CommandShell。同時監聽UDP69埠,當接收到受攻擊的機器發來的允許使用DCOM RPC運行遠程指令的消息后,將發送Msblast.exe文件,並讓受攻擊的計算機執行它,至此受攻擊的計算機也感染了此病毒。
5.如果當前日期是8月或者當月日期是15日以後,病毒還會發起對windowsupdate.com的拒絕服務攻擊(DdoS)。

病毒構成

衝擊波[計算機病毒“衝擊波”]
衝擊波[計算機病毒“衝擊波”]
衝擊波病毒長6176bytes,是後門和蠕蟲功能混合型的病毒,包括三個組件:蠕蟲載體、TFTP伺服器文件、攻擊模塊,病毒會下載並運行病毒文件msblast.exe。在這種混合型病毒中還隱藏地存在一段文本信息:
I just want to say LOVE YOU SAN !!
Bill gates why do you make this possible ?
Stop making money and fix your soft ware !!

病毒特徵


通過對衝擊波病毒的整個工作流程進行分析,可以歸納得到病毒的行為特徵:
1.主動攻擊:蠕蟲在本質上已經演變為黑客入侵的自動化工具,當蠕蟲被釋放(release)后,從搜索漏洞,到利用搜索結果攻擊系統,到複製副本,整個流程全由蠕蟲自身主動完成。
2.利用系統、網路應用服務漏洞:計算機系統存在漏洞是蠕蟲傳播的前提,利用這些漏洞,蠕蟲獲得被攻擊的計算機系統的相應許可權,完成後繼的複製和傳播過程。正是由於漏洞產生原因的複雜性,導致面對蠕蟲的攻擊防不勝防。
3.造成網路擁塞:蠕蟲進行傳播的第一步就是找到網路上其它存在漏洞的計算機系統,這需要通過大面積的搜索來完成,搜索動作包括:判斷其它計算機是否存在;判斷特定應用服務是否存在;判斷漏洞是否存在。這不可避免的會產生附加的網路數據流量。即使是不包含破壞系統正常工作的惡意代碼的蠕蟲,也會因為病毒產生了巨量的網路流量,導致整個網路癱瘓,造成經濟損失。
4.反覆性:即使清除了蠕蟲在文件系統中留下的任何痕迹,如果沒有修補計算機系統漏洞,重新接入到網路中的計算機還是會被重新感染。
5.破壞性:從蠕蟲的歷史發展過程可以看到,越來越多的蠕蟲開始包含惡意代碼,破壞被攻擊的計算機系統,而且造成的經濟損失數目越來越大。

傳播模式


衝擊波[計算機病毒“衝擊波”]
衝擊波[計算機病毒“衝擊波”]
衝擊波的傳播模式為:掃描-攻擊-複製。
掃描模塊採用的掃描策略是:隨機選取某一段IP地址,然後對這一地址段上的主機掃描。病毒作者會對掃描策略進行一些改進,比如在IP地址段的選擇上,可以主要針對當前主機所在的網段掃描,對外網段則隨機選擇幾個小的IP地址段進行掃描。對掃描次數進行限制,只進行幾次掃描。把掃描分散在不同的時間段進行。
掃描策略設計的原則有三點:盡量減少重複的掃描,使掃描發送的數據包總量減少到最小;保證掃描覆蓋到盡量大的範圍;處理好掃描的時間分佈,使得掃描不要集中在某一時間內發生。
一旦確認漏洞存在後就可以進行相應的攻擊步驟,這一部關鍵的問題是對漏洞的理解和利用。攻擊成功后,是獲得一個遠程主機的shell,例如對win2k系統來說就是cmd.exe,得到這個shell后就擁有了對整個系統的控制權。
複製過程有很多種方法,可以利用系統本身的程序實現,也可以用病毒自代的程序實現。複製過程實際上就是一個文件傳輸的過程,實現網路文件傳輸很簡單。

中毒癥狀


衝擊波[計算機病毒“衝擊波”]
衝擊波[計算機病毒“衝擊波”]
由於RPC/DCOM漏洞,RPCSS服務停止響應,操作系統不斷報告“PRC意外中止,系統重新啟動”,客戶機頻繁重啟,同時所有網路服務均出現故障,如IE瀏覽器打不開,OUTLOOK無法使用等。
由於RPC服務終止還可能造成其他的一些問題(因為許多功能都依賴於RPC服務),如:無法進行複製、粘貼,無法查看網路屬性,某些文件夾顯示不正常,計算機“服務”管理不正常,無法使用IE“在新窗口中打開”,無法添加刪除程序等等不正常現象。

病毒變種


2003年8月29日晚9時,全球反病毒監測網率先截獲了衝擊波病毒的最新變種,並命名為:衝擊波V(Worm.Blaster.E)。據反病毒工程師分析,該病毒變種和前三個變種病毒一樣,沒有在原始病毒上做大的改動,傳染和破壞能力與“衝擊波”其它變種相同,這個變種病毒只是重新改變了病毒文件名稱和註冊表鍵值,企圖躲避殺毒軟體的查殺。據分析,新的變種病毒做了如下四處改動:
1.將病毒體內的字元串改為:I dedicate this particular strain to me ANG3L - hope yer enjoying yerself and dont forget the promise for me B/DAY
而在病毒ochWorm.Blaster中為:I just want to say LOVE YOU SAN !! billy gates why do you make this possible ? Stop making money and fix your software !!
2.將原來的互拆量ochBILLY改為ochSILLY;
3.將對ochwindowsupdate.com進行拒絕服務攻擊改為對ochkimble.org進行拒絕服務攻擊;
4.將註冊表中添加的鍵值改為HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunWindowsAutomation=mslaugh.exe原為:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunWindowsautoupdate=msblast.exe
反病毒工程師判斷,這種改動的目的仍然是為了躲避殺毒軟體的追殺。該病毒編寫者是為了延長病毒的生命力,從而給自己爭取到推出病毒新版本的時間。到目前為止,“衝擊波”病毒共產生了五個病毒體,分別為:Worm.Blaster,Worm.Blaster.B,Worm.Blaster.C,Worm.Blaster.D,Worm.Blaster.E。

病毒應對


病毒檢測

衝擊波[計算機病毒“衝擊波”]
衝擊波[計算機病毒“衝擊波”]
該病毒感染系統后,會使計算機產生下列現象:系統資源被大量佔用,有時會彈出RPC服務終止的對話框,並且系統反覆重啟,不能收發郵件、不能正常複製文件、無法正常瀏覽網頁,複製粘貼等操作受到嚴重影響,DNS和IIS服務遭到非法拒絕等。如果在自己的計算機中發現以上全部或部分現象,則很有可能中了衝擊波病毒。此時,計算機用戶應該採取以下方式檢測:
1)檢查系統的system32\Wins目錄下是否存在DLLHOST.EXE文件(大小為20K)和SVCHOST.EXE文件,(注意:系統目錄里也有一個DLLHOST.EXE文件,但此為正常文件,大小隻有8KB左右)如果存在這兩個文件說明計算機已經感染了“衝擊波殺手”病毒;
2)在任務管理器中查看是否有三個或三個以上DLLHOST.EXE的進程,如果有此進程說明計算機已經感染了此病毒。

病毒清除

1.病毒通過最新RPC漏洞進行傳播,因此用戶應先給系統打上RPC補丁。
2.病毒運行時會建立一個名為:“BILLY”的互斥量,使病毒自身不重複進入內存,並且病毒在內存中建立一個名為:“msblast”的進程,用戶可以用任務管理器將該病毒進程終止。
3.用戶可以手動刪除該病毒文件。注意:%Windir%是一個變數,指的是操作系統安裝目錄,默認是:“C:\Windows”或:“c:\Winnt”,也可以是用戶在安裝操作系統時指定的其它目錄。%systemdir%是一個變數,指的是操作系統安裝目錄中的系統目錄,默認是:“C:\Windows\system”或:“c:\Winnt\system32”。
衝擊波[計算機病毒“衝擊波”]
衝擊波[計算機病毒“衝擊波”]
4.病毒會修改註冊表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項,在其中加入:“windowsautoupdate”=“msblast.exe”,進行自啟動,用戶可以手工清除該鍵值。
5.病毒會用到135、4444、69等埠,用戶可以使用防火牆將這些埠禁止或者使用“TCP/IP篩選”功能,禁止這些埠。
6.進入“管理工具”文件夾(在開始菜單或控制面板),運行組件服務,在左邊側欄點擊“服務(本地)”,找到RemoteProcedureCall(RPC),其描述為“提供終結點映射程序(endpointmapper)以及其它RPC服務”。雙擊進入恢復標籤頁,把第一二三次操作都設為“不操作”。

病毒預防

衝擊波[計算機病毒“衝擊波”]
衝擊波[計算機病毒“衝擊波”]
1.建立良好的安全習慣。對一些來歷不明的郵件及附件不要打開,不要執行下載后未殺毒處理的軟體等。
2.經常升級安全補丁。據統計,大部分網路病毒是通過系統安全漏洞進行傳播的,定期下載最新的安全補丁,以防範未然。
3.使用複雜的密碼。有許多網路病毒就是通過猜測簡單密碼的方式攻擊系統的,因此使用複雜的密碼,將會大大提高計算機的安全係數。
4.迅速隔離受感染的計算機。當發現計算機感染病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。
5.安裝專業的防毒軟體進行全面監控。在病毒日益增多的今天,使用殺毒軟體進行防毒,是越來越經濟的選擇,用戶在安裝了反病毒軟體之後,應經常進行升級、將一些主要監控經常打開(如郵件監控),這樣才能真正保障計算機的安全。