衝擊波蠕蟲
衝擊波蠕蟲
衝擊波蠕蟲(Worm.Blaster或Lovesan,也有譯為“疾風病毒”)是一種散播於Microsoft操作系統、Windows XP與Windows 2000的蠕蟲病毒,爆發於2003年八月。
本蠕蟲第一次被注意並如燎原火般散布,是在2003年的8月11日。它不斷繁植並感染,在8月13日達到高峰,之後藉助ISP與網路上散布的治療方法阻止了此蠕蟲的散布。
此蠕蟲試圖在8月15日發動一波SYN資訊洪水,目標是windowsupdate的80埠,藉此對此網站做出分散式阻斷服務攻擊(DDoS)。由於此蠕蟲的目標是windowsupdate(微軟的重定向網站)而非windowsupdate(微軟更新的本站),因此微軟便暫時地關閉此網站以降低此蠕蟲對網站造成的可能影響。
此蠕蟲藉由一個在DCOM遠程過程調用(RPC)出現的緩衝區溢位漏洞而在受影響的操作系統上散布。此漏洞的修補檔已在一個月之前就已公布在MS03-026以及MS03-039上。
本蠕蟲將兩段訊息隱藏在程式碼中,第一個是:
I just want to say LOVE YOU SAN!!
也因為此句話,本蠕蟲也稱為Lovesan蠕蟲。
第二個:
billy gates why do you make this possible ? Stop making money
and fix your software!!
是一個給比爾·蓋茲的訊息。他是微軟的開創者,以及本蠕蟲的攻擊目標。
雖然此蠕蟲只能在Windows 2000與XP上傳播,但是它也可讓執行RPC的操作系統如Windows NT、Windows XP(64 bit)與Windows Server 2003造成不穩。一但此蠕蟲在網路上偵測到連線(不論撥接或寬頻),它將會造成此系統的不穩定並顯示一道訊息以及在一分鐘之內重新開機:
Windows must now restart because the Remote Procedure Call
(RPC) Service terminated unexpectedly.
Windows的錯誤訊息以及重開機狀況可藉由更改重開機服務的設定而避免,使得使用者有足夠時間移除Blaster病毒以及安裝漏洞的修補程式。此步驟如下:
進入:開始->執行
鍵入"services.msc"並按下 Enter
找出"Remote Procedure Call" 服務(非RPC定位器),按下右鍵並選擇屬性(Properties)
選擇修復分頁,並設置失敗行動選項為“不做動作”
選擇確定
由於RPC是Windows的內嵌部件,因此失敗動作在移除Blaster理應儘快設定回重開機。
另外一個阻止電腦重新開機的方法為:
進入:開始->執行
鍵入 "shutdown -a"並按下 Enter
如果你以管理者登入系統,這方法可以順利停止重開機(-a代表Abort)。
以上動作必須在重開機訊息出現后,在時限內完成。而shutdown.exe檔案並不能在Windows 2000直接找到,必須從Windows 2000資源包中提取出。
另外,執行Open Software Foundation的分散式運算環境有可能被此蠕蟲造成的流量所影響。此蠕蟲產生的網路封包對DCE造成DDoS,也會造成DCE的崩潰。
對微軟Windows使用者的最佳方法是時時登入Microsoft Update,將系統保持在最新狀態,以及更新防毒軟體。Windows Update尤其重要,因為惡意軟體(例如Blaster)常常利用最近找到的漏洞來破壞,因為這類的新漏洞許多使用者還來不及更新修正程式。
在仔細檢查Blaster的程式碼后,研究者發現源代碼中內嵌了Parson的名字,而警方也因此逮捕了他。