沖擊波 -沖擊波病毒

沖擊波

沖擊波蠕蟲(Worm.Blaster或Lovesan,也有譯為“疾風病毒”)是一種散播于Microsoft作業系統,Windows XP與Windows 2000的蠕蟲病毒,爆發于2003年8月。本蠕蟲第一次被註意並如燎原火般散布,是在2003年的8月11日。它不斷增殖並感染,在8月13日達到高峰,之後借助ISP與網路上散布的治療方法阻止了此蠕蟲的散布。在2003年8月29日,一個來自美國明尼蘇達州的18歲年輕人Jeffrey Lee Parson由于創造了Blaster.B變種而被逮捕;他在2005年被判處十八個月的有期徒刑。

  • 中文名稱
    沖擊波蠕蟲
  • 外文名稱
    Worm.Blaster
  • 發作時間
    隨機
  • 病毒類型
    蠕蟲病毒
  • 傳播途徑
    網路/RPC漏洞
  • 喜歡
    找漏洞

基本簡介

沖擊波

沖擊波蠕蟲(Worm.Blaster或Lovesan,也有譯為“疾風病毒”)是一種散播于Microsoft作業系統,Windows XP與Windows 2000的蠕蟲病毒,爆發于2003年8月。本蠕蟲第一次被註意並如燎原火般散布,是在2003年的8月11日。它不斷繁植並感染,在8月13日達到高峰,之後借助ISP與網路上散布的治療方法阻止了此蠕蟲的散布。在2003年8月29日,一個來自美國明尼蘇達州的18歲年輕人Jeffrey Lee Parson由于創造了Blaster.B變種而被逮捕;他在2005年被判處十八個月的有期徒刑。

​感染征兆

沖擊波

雖然此蠕蟲隻能在Windows 2000與XP上載播,但是它也可讓執行RPC的作業系統如Windows NT、Windows XP(64 bit)與Windows Server 2003造成不穩。一但此蠕蟲在網路上偵測到連線(不論撥接或寬頻),它將會造成此系統的不穩定並顯示一道訊息以及在一分鍾之內重新開機。

“Windows must now restart because the Remote Procedure Call (RPC) Service terminated unexpectedly。”

​解決方案

沖擊波

Windows的錯誤訊息以及重開機狀況可借由變更重開機服務的設定而避免,使得使用者有足夠時間移除Blaster病毒以及安裝漏洞的修補程式。此步驟如下:

進入:開始->執行

鍵入"services.msc"並按下 Enter

找出"Remote Procedure Call" 服務 (非RPC定位器),按下右鍵並選擇屬性(Properties)

選擇修復分頁,並設定失敗行動選項為“不做動作”

選擇確定

由于RPC是Windows的內嵌部件,因此失敗動作在移除Blaster理應盡快設定回重開機。

另外一個阻止電腦重新開機的方法為:

進入:開始->執行

鍵入 "shutdown -a"並按下 Enter

如果你以管理者登入系統,這方法可以順利停止重開機(-a代表Abort)。

以上動作必須在重開機訊息出現後,在時限內完成。而shutdown.exe檔案並不能在Windows 2000直接找到,必須從Windows 2000資源包中提取出。

另外,執行Open Software Foundation的分散式運算環境有可能被此蠕蟲造成的流量所影響。此蠕蟲產生的網路封包對DCE造成DDoS,也會造成DCE的崩潰。

對微軟Windows使用者的最佳方法是時時登入Microsoft Update,將系統保持在最新狀態,以及更新防毒軟體。Windows Update尤其重要,因為惡意軟體(例如Blaster)常常利用最近找到的漏洞來破壞,因為這類的新漏洞許多使用者還來不及更新修正程式。  

影響方式

沖擊波

此蠕蟲嘗試在8月15日發動一波SYN資訊洪水,目標是windowsupdate.com的80埠,借此對此網站做出分散式阻斷服務攻擊(DDoS)。由于此蠕蟲的目標是windowsupdate.com(微軟的重定向網站)而非windowsupdate.microsoft.com(微軟更新的本站),因此微軟便暫時地關閉此網站以降低此蠕蟲對網站造成的可能影響。

此蠕蟲借由一個在DCOM遠程過程調用(RPC)出現的緩沖區溢位漏洞而在受影響的作業系統上散布。此漏洞的修補檔已在一個月之前就已公布在MS03-026以及MS03-039上。

本蠕蟲將兩段訊息隱藏在程式碼中:

第一個是:

“I just want to say LOVE YOU SAN!!”

也因為此句話,本蠕蟲也稱為Lovesan蠕蟲。

第二個:

“billy gates why do you make this possible ? Stop making money and fix your software!!”

是一個給比爾·蓋茲的訊息。他是微軟的開創者,以及本蠕蟲的攻擊目標。

相關變種

沖擊波V

警惕程度:★★★★★

發作時間:隨機病毒類型:蠕蟲病毒

沖擊波

傳播途徑:網路/RPC漏洞

依賴系統: WINDOWS NT/2000/XP

病毒介紹 該變種病毒于2002年8月29日被瑞星全球反病毒監測網國內率先截獲。該病毒變種在原始病毒上沒有做大的改動,破壞力和“沖擊波”病毒相同,隻是重新改變了病毒互斥量、病毒檔案名稱、註冊表鍵值、攻擊網址和病毒體內字元串,從而有效地躲避了防毒軟體的追殺。

病毒運行時會掃描網路,尋找作業系統為WINDOWS NT、2000、XP的電腦,然後通過RPC漏洞進行感染,並且綁定連線埠,危害系統。使用者感染了該病毒後,電腦會出現各種異常情況,如:彈出RPC服務終止的對話框、系統反復重啓、不能收發郵件、不能正常復製檔案、無法正常流覽網頁,復製貼上等操作受到嚴重影響,DNS和ⅡS服務遭到非法拒絕服務等,另外,病毒大面積地泛濫還能使整個網路系統癱瘓。

病毒體內的字元串被改為:“I dedicate this particular strain to me ANG3L - hope yer enjoying yourself and don’t forget the promise for me B/DAY !!!!”。

沖擊波Ⅵ

警惕程度:★★★★★

發作時間:隨機

病毒類型:蠕蟲病毒

傳播途徑:網路/RPC漏洞

依賴系統: WINDOWS NT/2000/XP

其他資料

FBI稱沖擊波病毒作者是一18歲少年

據Sohu報道,一名美國官員周四證實,聯邦調查局(FBI)已經認定了一名18歲的少年是危險的蠕蟲“沖擊波”變種病毒(Blaster.B)的作者,計畫在周五早晨逮捕他。

這名要求匿名的官員說,現在還不知道這名18歲少年的身份和家庭住址,他被控編寫了“沖擊波”蠕蟲病毒。預計聯邦調查局和在西雅圖的美國法務部長辦公室將在周五透露細節,在美國東部時間下午4:30計畫召開新聞發布會。美國司法部長辦公室的發言人哈丁表示,目前還沒有人因此事被捕。據說一名證人看到這名少年測試病毒感染情況,並打電話報了警。

所有“沖擊波”變種都利用了微軟Windows作業系統的一種漏洞,微軟在7月16日承認這種漏洞後,美國政府和業界專家就估計會出現病毒爆發。賽門鐵克表示,“沖擊波”蠕蟲及其變種感染了50多萬台電腦。

"沖擊波"變種病毒作者獲刑18個月

曾編寫並散布了“沖擊波”變種蠕蟲病毒的美國青年傑弗裏·帕森,2004年28日被美國西雅圖一家地方法院判處18 個月徒刑。法官說,這對他已經是從輕處罰了。

據當地媒體報道,帕森,是美國明尼蘇達州人。2003年8月,他將“沖擊波”蠕蟲病毒改編成“沖擊波B”變種蠕蟲並在網上散布,這一變種蠕蟲攻擊了至少4.8萬台電腦。兩個星期後,帕森在家中被美國聯邦調查局偵探抓獲。

去年,西雅圖地方法院判定帕森因“攻擊政府電腦”而有罪,他的最高刑期可能達10年,外加25萬美元罰款。但在28日的判決中,法官認為帕森犯罪很大程度上是因為“教養不當”和“監管疏忽”,因而被判處了較短的刑期。

根據法院的判決,帕森在輕罪監獄服刑後,還必須參加10個月社區勞動,賠償損失,並有3年監護期,有關民事賠償的聽證會將在2月舉行。據微軟公司的律師估計,賠償額很可能高于100萬美元。

“沖擊波”及其幾個變種借助網路傳播,並利用了微軟“視窗”作業系統的安全漏洞,被認為是破壞力最大的新型蠕蟲病毒之一。根據微軟公司的統計資料,自2003年以來全球已有800萬至1600萬台電腦被“沖擊波”及其各個變種襲擊,但“沖擊波”蠕蟲原型的編寫者至今還沒有被發現。

相關詞條

相關搜尋

其它詞條