病毒中的“钉子户”——冲击波丨专栏

zun45700

一、谶曰——打不死的小强

“冲击波”计算机病毒（图片来自网络）

大东：小白，经过前段时间的学习相信你对计算机网络安全也有了一定的了解。

小白：那可不，别的不敢说，就说计算机安全防范这一点我就能例举出好几种方法。

大东：哈哈，看来小白已经不再是那个“小白”了，那我可要考考你了。如果说计算机系统异常、不断重启一般是什么情况呢？

小白：哎呀，怕是中了病毒了，赶紧杀毒、更新漏洞补丁。

大东：系统漏洞更新补丁是对的，但如果无法更新该漏洞补丁呢？

小白：啊？无法更新补丁？这可是我知识的盲区啊，还有这种病毒？

大东：那当然啦。

小白：还得麻烦东哥给我讲讲这个病毒中的“钉子户”，看来“一日充电终身放电”在计算机网络安全方面是不可靠的，学海无涯啊。

二、“冲击波”病毒

大东：2003年7月21日，微软RPC漏洞被公布，同年8月一款针对此漏洞的病毒爆发。这即是著名的2003年“冲击波”病毒事件（Worm.MsBlast）。

小白：原来是臭名昭著的“冲击波”病毒啊。

大东：看来小白也是知道的。

小白：那是啊！这种病毒是一种蠕虫病毒，它的变种至今仍有存活，不少人都曾中招，电脑会不停重启。

大东：对的，中了这个病毒系统操作异常、不停的重启，严重的话会导致系统崩溃。此外该病毒有很强的自我防卫能力，也就是刚才说的无法更新补丁，是2003年名副其实的“毒王”。

冲击波病毒（图片来自网络）

大东：冲击波病毒的性质是后门和蠕虫病毒的混合病毒。该病毒起初主要针对Win2000或是XP系统，利用IP扫描技术寻找此类计算机，然后利用DCOM/RPC缓冲区漏洞进行攻击。随着病毒体传送感染对方计算机，使对方出现刚才说到的系统异常、不断重启、无法复制粘贴、无法正常上网等问题。2003年8月11日我国金山反病毒中心首次在国内发现，几日之间感染了大量使用此漏洞系统的计算机，对全球造成数百亿美元的损失。

小白：可见对全球的影响是多么有冲击力啊，名副其实的冲击波啊。东哥，那“冲击波”是怎么实现无法更新补丁的？

大东：无法更新补丁，是因为其具备对对系统升级网站（windowsupdata.com）进行拒绝服务攻击（DdoS）的能力，导致网站堵塞，阻止用户下载相关程序。除了Win2000和XP系统，Server和NT4.0也成为“冲击波”主要设计的操作系统。

小白：东哥详细说下原理。

大东：该病毒充分利用了RPC/DCOM漏洞，首先使受攻击的计算机远程执行了病毒代码；其次使RPCSS服务停止响应，PRC意外中止，从而产生由于PRC中止导致的一系列连锁反应。针对RPC/DCOM漏洞所编写的病毒代码构成了整个病毒代码中产生破坏作用的最重要的部分。

小白：冲击波的运作过程是怎样的？有什么特点么？

大东：计算机系统被病毒感染后，病毒会自动建立一个名为“BILLY”的互斥线程，当病毒检测到系统中有该线程的话则将不会重复驻入内存，否则病毒会在内存中建立一个名为“msblast”的进程。

小白：听起来像是C语言程序呢。

大东：还真让你猜对了。病毒运行时会将自身复制为：%systemdir%\\msblast.exe，%systemdir%指的是操作系统安装目录中的系统目录，默认为C：\\Winnt\\system32；紧接着病毒在注册表HKEY-LOCAL-MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下添加名“windows auto update”的启动项目，值为“msblast.exe”，简言之，这么做使得每次启动计算机时自动加载病毒。

小白：那是怎么实现攻击的呢？

大东：具体的攻击过程是在感染病毒的计算机通过TCP135端口向那些被攻击计算机发送攻击代码，被攻击的计算机将在TCP4444端口开启一个CommandShell。同时监听UDP69端口，当接收到受攻击的机器发来的允许使用DCOM RPC运行远程指令的消息后，将发送Msblast.exe文件，并让受攻击的计算机执行它，受攻击的计算机也感染了此病毒。

小白：原来如此。

三、防范措施

小白：蠕虫病毒的特色可不容小觑啊，提起蠕虫头就疼。

大东：哈哈，何止是你啊，这个冲击波病毒给世界带来的冲击可是有目共睹啊。该病毒出现后带动出一大批利用此漏洞的其他病毒，形成了一个较大的病毒家族。其中紧跟其后于8月18日出现的“冲击波克星”（Worm.KillMsBlast）病毒也广为流传。

它一面试图清除“冲击波”（Worm.Msblast）病毒，在系统内种下简易预防代码，并尝试从微软网站下载补丁程序，为受感染的系统打上补丁。但该病毒紧接着就开启上百个线程疯狂探测IP地址，并通过RPC漏洞迅速传播自己，消耗大量CPU和网络资源，常常导致系统死机。

小白：前有狼，后有虎啊。

大东：要不然怎么说他难缠啊。时至今日，没有安装相应补丁程序的用户系统只要一联上网，很快就会受到这类病毒攻击。冲击波病毒的变种也依旧威胁着网络安全。

小白：得了，东哥告诉我怎么对付它吧。

冲击波补丁（图片来自网络）

大东：（1）“冲击波”病毒通过最新RPC漏洞进行传播，因此用户应先给系统打上RPC补丁。

（2）病毒运行时会建立一个名为：“BILLY”的互斥量，使病毒自身不重复进入内存，并且病毒在内存中建立一个名为：“msblast”的进程，用户可以用任务管理器将该病毒进程终止。

（3）用户可以手动删除该病毒文件。注意：%Windir%是一个变量，指的是操作系统安装目录，默认是：“C：\\Windows”或：“c：\\Winnt”，也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量，指的是操作系统安装目录中的系统目录，默认是：“C：\\Windows\\system”或：“c：\\Winnt\\system32”。

（4）“冲击波”病毒会用到135、4444、69等端口，用户可以使用防火墙将这些端口禁止或者使用“TCP/IP筛选”功能，禁止这些端口。

（5）进入“管理工具”文件夹（在开始菜单或控制面板），运行组件服务，在左边侧栏点击“服务（本地）”，找到RemoteProcedureCall（RPC），其描述为“提供终结点映射程序（endpointmapper）以及其它RPC服务”。双击进入恢复标签页，把第一二三次操作都设为“不操作”。

小白：好棒，讲的超级详细。

来源：中国科学院计算技术研究所

温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」

本文版权归原作者中科院之声所有，如有侵权请联系管理员删除，原文地址：https://www.toutiao.com/a6720973270058795524/

chaojiwantong

每日一举报，希望中科院查处植物所蒋高明这个反智、反科学的骗子与不法粮商。

zuzcuWTb

自从杀毒软件免费了，病毒都灰溜溜的逃跑了，这是为啥?

ansongg

居然让金山第一个发现了[捂脸]

ucomcn

这个冲击波有没有产权证，是不是集体用波，有没有后台！[捂脸][捂脸][捂脸]

sky51

缓冲区溢出漏洞吗？

tantancn

转发了