首页 新闻 体育 娱乐 游戏 邮箱 搜索 短信 聊天 天气 答疑 导航
新浪首页 > 科技时代 > 滚动新闻 > “冲击波”病毒在国内迅速泛滥专题 > 正文

新浪采访金山:“冲击波”危害直逼“红色代码”

http://www.sina.com.cn 2003年08月12日 23:54 新浪科技

  8月12日,金山公司客户服务中心接到潮水般的用户求助电话。用户描述的现象大多一致:我的计算机今天开机后速度极慢,并不停弹出窗口提示“RPC服务终止,需要重新启动计算机”,开机一两分钟就会重启一次,公司所有Win2000和Win XP的系统表现一样。据金山客服中心的数据统计,这类急救咨询占到该公司客户服务电话的一半左右。

  金山公司金山毒霸事业部总经理陈飞舟介绍,在8月3日,金山反病毒中心就曾发出过
警告,当时该中心曾成功捕获“流言”病毒(Worm.SdBotRPC),该病毒被认为是国内出现的第一个针对Windows RPC服务漏洞进行攻击的病毒,并预计该漏洞将可能引起更为严重的后果,其破坏性不亚于前两年在我国爆发在恶性病毒“红色代码”。

  但遗憾的是,据调查只有不到10%的用户使用Windows Update修补了RPC漏洞,终于造成受攻击的用户急剧上升。据金山反病毒中心技术人员介绍目前发现的利用Windows RPC漏洞攻击的病毒远不止一个“流言”,类似在病毒至少有4、5种之多,目前,金山毒霸已经完成了病毒库升级制作。

  今天大规模出现的是称之为“冲击波”的蠕虫病毒,该病毒英文名称Wrom.MSBlaster.6176,仅6KB的小程序,该病毒正在疯狂传播。这个病毒攻击的端口是TCP135、TCP4444和UDP69端口。该病毒的攻击目标直指Windows Update,如果当前系统时间月份大于8月,或日期大于15号,该病毒会对“Windowsupdate.com”网站实施DOS攻击。这样就有可能影响用户正常使用Windows Update修补系统。对于拥有局域网的企事业来讲,该病毒的直接结果是引发局域网瘫痪。

  新浪科技在第一时间联系到金山毒霸信息安全事业部技术总监孙国军,他介绍了“冲击波”病毒的特点:“现在流行的‘冲击波’病毒是8月11日才出现的。在8月初出现的病毒叫‘流言’,这两个病毒的共同点都是利用了RPC漏洞,但早之前的‘流言’是第一例利用RPC漏洞进行尝试的病毒,它本身主体是一个木马程序,需要人工事先种植到其他机器,然后利用RPC漏洞再去攻击从而导致其他机器不能正常工作。它的这种试验性的方法限制了它的大面积传染。而新的‘冲击波’病毒则是第一个利用RPC漏洞进行攻击和传染的病毒!它利用漏洞进行攻击成功后,被感染的机器又会成为新的感染源然后继续新的攻击。RPC是Windows系统必备的一个服务,所以只要存在漏洞就会感染。”

  他同时对目前“冲击波”病毒的大面积感染表示担忧:“因为目前大多数企业级用户采用的是WinNT系统,Windows2000系统则广泛地被各种专业级用户使用,WindowsXP正在以较大的幅度取代Windows98和WindowsME操作系统。据2003年5月的调查结果,WindowsNT/2000/XP的使用比例达到54%,而且WindowsXP继续以每月1%的比例增长。而这些操作系统均是RPC漏洞的受影响系统。

  从受影响的系统比例以及RPC本身在Windows操作系统上的广泛使用,金山毒霸根据特有的病毒敏感性,可以推测RPC漏洞将会大面积地造成破坏。事实上,根据这段时间的用户反馈也证明了这一点。”

  “从8月初金山反病毒中心先后率先截获“流言”病毒和“冲击波”病毒开始,金山公司接到大量的用户反馈,提供的诊状或现象包括:操作系统莫名其妙地死机或重启,Word文档不能打开,某些程序不能使用,网络变得缓慢。

  这些用户还无法准确地判断出原因,但我们调查发现他们的系统中均有msblast的进程在运行!所以可以判断是“冲击波”病毒的危害。

  金山毒霸在率先截获“流言”病毒之后,就及时发布新的升级程序,并在网站制作专题,提醒用户升级反病毒软件,给系统打补丁;进行各种媒体宣传,以提醒广大用户的注意。(祝志军)

  名词解释:Remote Procedure Call (RPC):是Windows操作系统使用的一种远程过程调用协议,RPC提供进程间交互通信机制,允许在某台计算机上运行的程序无缝地在远程系统上执行代码。Microsoft的RPC部分在通过TCP/IP处理信息交换时存在问题,远程攻击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。

  此漏洞是由于不正确处理畸形消息所致,漏洞影响使用RPC的DCOM接口。此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者成功利用此漏洞可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作,如安装程序、查看或更改、删除数据或建立系统管理员权限的帐户。要利用这个漏洞,攻击者需要发送特殊形式的请求到远程机器上的135端口。

  通俗地说:RPC是Windows系统上一种让远程计算机执行本地程序的机制,由于RPC在通过TCP/IP进行数据交换时存在问题,远程攻击者就可以利用这个漏洞进入计算机随意执行各种指令。RPC利用的是135端口。


评论】【推荐】【 】【打印】【关闭

     诺基亚,三星手机,笔记本全部499起限量甩卖中

  绝对大奖!订非常笑话短信,送数码摄像机!
  注册新浪9M全免费邮箱
  新概念英语 口语 出国考试 考研暑期限时优惠
  无数人梦寐以求的境界,亲密接触,激烈搏杀,包你爽上“天堂”

新 闻 查 询
关键词一
关键词二


search Esprit 皇马 小灵通
 

新浪精彩短信
两性学堂
学会和你的身体对话,了解自己的身体,探索自己……
非常笑话
妻子:我患病卧床你却到外面跳舞!丈夫辩解道:…
图片
铃声
·[王 菲] 笑忘书
·[刘德华] 笨小孩
·[Beyond] 真的爱你
铃声搜索




新浪商城推荐
佳能数码相机
  • A60A70新品上市
  • s45 送128兆
  • igo5美味购物体验
  • 特价原装手机配件
  • 十大禁书1.7折
  • 上网体验潮流科技
  • 全新手机百元起
  • 彩信手机百元起拍
     (以上推荐一周有效)
  • 更多精品特卖>>

     发表评论:  匿名发表  笔名:   密码:
    每日2条,28元/月
    原色地带--普通图片铃声,5元包月下载,每条仅0.1元 
    炫彩地带--彩图和弦铃声,10元包月下载,每条仅0.1元
    爆笑无比精彩无限,成人世界的快乐享受
    好消息:8月11日-20日订阅非常笑话的用户有机会获得数码相机或摄像机
    每日2条,30元/月



    科技时代意见反馈留言板 电话:010-82628888-5488   欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    Copyright © 1996 - 2003 SINA Inc. All Rights Reserved

    版权所有 新浪网