电脑病毒“冲击波”基本介绍

2017-03-22

冲击波病毒是利用在2003年7月21日公布的RPC漏洞进行传播的,该病毒于当年8月爆发,下面就跟着小编一起前去看看,认识认识冲击波电脑病毒吧!希望能够帮助到你哦!

电脑病毒冲击波:

病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2000或XP的计算机,找到后就利用DCOM/RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统奔溃。另外,该病毒还会对系统升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞,具体涉及的操作系统

简要介绍编辑

冲击波病毒运行时会不停地利用IP扫描技术寻找网络上系统为Windows 2000或Windows XP的计算机,扫描到后就利用DCOMRPC缓冲区漏洞攻击该系统,病毒体会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。该病毒运行时会将自身复制到windows目录下,名为msblast.exe进程,是活的病毒体。

关于起源编辑

2003年7月16日,微软公司发布了“RPC接口中的缓冲区溢出”的漏洞补丁。该漏洞存在于RPC 中处理通过TCP/IP的消息交换的部分,攻击者通过TCP135端口,向远程计算机发送特殊形式的请求,允许攻击者在目标机器上获得完全的权限并以执行任意代码。

病毒制造者迅即抓住了这机会,制作出了利用该漏洞的蠕虫病毒。俄罗斯著名反病毒厂商Kasperskylabs于2003年8月4日捕获了这个病毒,并发布了命名为Worm.Win32.Autorooter病毒的信息。

特征介绍编辑

该病毒运行时会将自身复制到windows目录下,命名为:msblast.exe进程,该进程是活的病毒体。病毒运行时会在系统中建立一个名为:“BILLY”的互斥量,在内存中保存一份病毒体。

该病毒会在注册表的(HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun)中添加值:"windows autoupdate"="msblast.exe",每次启动系统时,病毒便会自动运行。

该病毒以20秒检测一次网络状态,网络可用时,病毒会在本地的UDP/69端口上建立tftp服务器,启动攻击传播线程,随机生成攻击地址。病毒扫描到计算机后,会向目标计算机的TCP/135端口发送攻击数据。

攻击成功后,目标计算机的TCP/4444端口作为监听后门,绑定cmd.exe。蠕虫会连接到这个端口,发送tftp命令,回连到目标主机,将msblast.exe传到目标计算机上并自动运行。该病毒攻击失败时,会造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统会自动重启计算机。

感染该蠕虫病毒后会出现以下现象,Word、Excel、Powerpoint等文件无法正常运行,弹出找不到链接文件的对话框,一些功能如“粘帖”等无法正常使用,控制面板出现异常、系统文件无法正常显示、Windows界面下的功能无法正常使用、计算机反复重新启动等现象。

变种类型编辑

微软公司最初发现“冲击波”蠕虫病毒大规模爆发在2003年8月11日,专家同时也检测到变种病毒,其中一个被重新命名为“teekids.exe”,被称为“冲击波”B型变种。

该变种“冲击波”病毒是由美国明尼苏达州霍普金斯市杰弗里·李·帕森所编写,“冲击波”在全球范围内感染了50多万台电脑,大批电脑瘫痪和网络连接速度减慢。“冲击波”变种病毒主要利用微软“视窗”操作系统的一个漏洞进行传播,装有“视窗XP”或“视窗2000”操作系统的电脑易感染。

“冲击波”病毒袭击的美国联邦调查局和国土安全部下属的特工处在明尼苏达州霍普金斯市逮捕了一名18岁的少年(叫杰弗里·李·帕森)。承认制造并传播“冲击波”蠕虫病毒的一个变种,已被指控有意或试图破坏受保护的电脑。

陆续出现:冲击波II(Worm.Blaster.B)、冲击波III(Worm.Blaster.C)。

更多相关阅读

最新发布的文章