首页 新闻 体育 娱乐 游戏 邮箱 搜索 短信 聊天 天气 答疑 导航
新浪首页 > 科技时代 > 滚动新闻 > “冲击波”病毒在国内迅速泛滥专题 > 正文

俄罗斯反病毒厂商Kaspersky解析“冲击波”病毒

http://www.sina.com.cn 2003年08月14日 18:23 新浪科技

  病毒的起源:

  2003年7月16日,微软公司发布了“RPC接口中的缓冲区溢出”的漏洞补丁。该漏洞存在于RPC中处理通过TCP/IP的消息交换的部分,攻击者通过TCP 135端口,向远程计算机发送特殊形式的请求,允许攻击者在目标机器上获得完全的权限并且可以执行任意的代码。

  病毒制造者迅即抓住了这一机会,首先制作出了一个利用此漏洞的蠕虫病毒。俄罗斯著名反病毒厂商Kaspersky labs于2003年8月4日捕获了这个病毒,并发布了命名为Worm.Win32.Autorooter病毒的信息。

  Worm.Win32.Autorooter是后门和蠕虫功能混合型的病毒。它包括三个组件——蠕虫载体、FTP服务器文件、攻击模块(通过微软漏洞),攻击模块首先会引起操作系统缓冲器出溢同时并加载其它组件。由于Autorooter当时的版本没有自我复制功能,虽然在互联网传播有一些限制,但通过内置的FTP服务器会加载IRCvot木马程序。一旦运行该木马将允许黑客操控受害的计算机。

  通过对Worm.Win32.Autorooter病毒的分析,Kaspersky的开创者Eugene Kaspersky准确地预见了:“我们认为现在这个病毒只是一个测试版,更多的变种可能即将出现,并对互联网造成严重的危害。Autorooter病毒制造者很可能是想先创建一个染毒的网络环境,然后为它后续的病毒感染或黑客攻击做铺垫。”

  正如Eugene Kaspersky先前曾做过的很多预言一样(如首次预言病毒会通过NTFS文件系统中的数据流进行传播并一度引起反病毒界的争论,被后来陆续检测出此类病毒而得到证实,这类病毒的典型案例是广泛传播的Hybris),一个星期后的2003年8月12日,Worm.Win32.Autorooter的新变种蠕虫病毒Worm.Win32.Lovesan出现了。

  Lovesan的出现,给互连网立即带来了巨大的冲击,它能够向未安装上述补丁的系统发起攻击并迅速蔓延,还造成了一些系统的崩溃。

  Worm.Win32.Lovesan用C语言编写,利用LCC编译,是Windows PE可执行文件,大小约为6KB(用UPX压缩工具,解压后为11KB)。在被感染的系统者,Lovesan会下载并运行名为blast.exe文件,该文件中有以下的文字:“I just want to say LOVE YOU SAN!! Billy Gates why do you make this possible? Stop making money and fix your software”(我只想说爱你SAN!!比尔·盖茨,为什么你要使这种攻击成为可能?不要再赚更多的钱了,好好修正你的软件吧。)感染病毒后的系统现象:

  l在Windows system32文件夹中存在MSBLAST.exe文件

  l提示错误信息:RPC服务失败。由此造成系统重新启动。

  病毒的传播机制:

  Lovesan会在系统每次重启后,在系统注册表中注册以下键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runwindows auto update="msblast.exe"

  然后蠕虫开始扫描网络中的IP地址,随机选择20个IP地址进行连接,并感染有此漏洞的计算机,在间歇1.8秒后再扫描另外的20个IP地址。

  Worm.Win32.Lovesan下列方式之一扫描IP地址:

  1.在60%的情况下,Lovesan随机选择基本的IP地址(A.B.C.D),其中A、B、C为0-255间的随机值,而D值为零。

  2.在其余情况下,Lovesan扫描该子网并获得本地染毒染机器的IP地址。从这些IP地址中取出A和B的值并设置D值为0,然后病毒按下列方式得到C的值:

  如果C值小于等于20,Lovesan不作修改。即如果本地的IP地址是207.46.14.1,蠕虫将从207.46.14.0开始扫描。

  如果C值大于20,Lovesan会在C和C减去19之间选择一个随机值。即如果染毒机器的IP地址是207.46.134.191,蠕虫将在207.46.{115-134}.0之间扫描。

  Worm.Win32.Lovesan将通过TCP 135端口向受害计算机发送缓冲区溢出请求,然后在刚感染的计算机上开启TCP 4444端口启动远程shell。

  Lovesan对开启4444端口的连接运行一个线程,等待从受害机器发出FTP的“get”请求。然后Lovesan强迫受害机器发送“FTP get”请求,从而从已染毒的计算机下载蠕虫并运行。这样,受害机器也被感染了。

  一旦计算机被感染Lovesan,系统将发送RPC服务失败的出错信息,并可能重新启动计算机。

  在2003年8月16日,Lovesan将对微软公司的Windowsupdate.com发起分布式拒绝服务(DDOS)攻击。

  手动清除方法:

  1.断开网络连接;

  2.终止蠕虫程序的msblast.exe进程:对于Windows 95/98/ME系统,按CTRL+ALT+DELETE;对于Windows NT/2000/XP系统,按CTRL+SHIFT+ESC,选择进程标签页;

  3.在运行的程序列表中,查找MSBLAST.EXE进程并终止此进程;

  4.点击“开始”à“运行”,输入Regedit,点击“确认”按钮,打开注册表管理器窗口;

  5.展开注册表的下列项目:

  HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

  6.在窗口右边的列表中删除键值:Windows auto update = MSBLAST.EXE

  病毒防范:如果你无法安装系统补丁,

  在防火墙中禁止端口69、135、4444:端口135用于启动与远程计算机的RPC连接。在防火墙中禁止端口135有助于防止有人企图利用此漏洞攻击防火墙后面的系统。

  Internet连接防火墙:如果您使用Windows XP或Windows Server 2003中的Internet连接防火墙功能来帮助保护您的Internet连接,则默认情况下,它将禁止来自Internet的入站RPC通信。

  在所有未打补丁的计算机上禁用DCOM:当计算机属于某个网络的一部分时,DCOM网络协议可使该计算机上的COM对象能够与其他计算机上的COM对象通信。您可以对特定的计算机禁用DCOM以帮助防范他人利用此漏洞发动的攻击,但这将使该计算机上的对象无法与其他计算机上的对象通信。如果在远程计算机上禁用DCOM,则无法远程访问该计算机以重新启用DCOM。

  安装系统补丁:

  乐亿阳科技有限公司强烈建议用户安装微软823980补丁。需注意用户在安装此补丁包之前,需要安装先前的系统补丁,有关详细信息,请访问微软网站

  另外,请广大卡巴斯基(Kaspersky Anti-Virus,原名AVP)的用户迅速升级病毒代码。

  敬请访问卡巴斯基公司网站www.kaspersky.com.cn,了解该病毒的更多介绍。


评论】【推荐】【 】【打印】【关闭

     加快业务步伐,参加2003 IBM软件年会!
诺基亚,三星手机,笔记本全部499起限量甩卖中

  绝对大奖!订非常笑话短信,送数码摄像机!
  注册新浪9M全免费邮箱
  新概念英语 口语 出国考试 考研暑期限时优惠
  无数人梦寐以求的境界,亲密接触,激烈搏杀,包你爽上“天堂”

新 闻 查 询
关键词一
关键词二


search Esprit 皇马 小灵通
 

新浪精彩短信
两性学堂
学会和你的身体对话,了解自己的身体,探索自己……
非常笑话
妻子:我患病卧床你却到外面跳舞!丈夫辩解道:…
图片
铃声
·[李 玟] 真情人
·[周杰伦] 龙卷风
·[零 点] 爱不爱我
铃声搜索



企 业 服 务


广州开发区新浪站开通
新浪企业邮箱—免费喽
搜索MP3,音乐任飞扬
肺癌治疗重大突破


分 类 信 息
:全国名牌高校招生
   新浪分类全新改版
   夏季旅游-心的承诺
京车消费,此处为家!
 京腔京韵京商京息
分类信息刊登热线>>

 发表评论:  匿名发表  笔名:   密码:
每日2条,28元/月
原色地带--普通图片铃声,5元包月下载,每条仅0.1元 
炫彩地带--彩图和弦铃声,10元包月下载,每条仅0.1元
爆笑无比精彩无限,成人世界的快乐享受
好消息:8月11日-20日订阅非常笑话的用户有机会获得数码相机或摄像机
每日2条,30元/月



科技时代意见反馈留言板 电话:010-82628888-5488   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2003 SINA Inc. All Rights Reserved

版权所有 新浪网