2017-07-07 13:35:41

冲击波 - 冲击波病毒 免费编辑 修改义项名

所属类别 :
病毒
病毒
编辑分类

冲击波蠕虫(Worm.Blaster或Lovesan,也有译为“疾风病毒”)是一种散播于Microsoft操作系统,Windows XP与Windows 2000的蠕虫病毒,爆发于2003年8月。本蠕虫第一次被注意并如燎原火般散布,是在2003年的8月11日。它不断增殖并感染,在8月13日达到高峰,之后借助ISP与网络上散布的治疗方法阻止了此蠕虫的散布。在2003年8月29日,一个来自美国明尼苏达州的18岁年轻人Jeffrey Lee Parson由于创造了Blaster.B变种而被逮捕;他在2005年被判处十八个月的有期徒刑。

基本信息

  • 中文名

    冲击波蠕虫

  • 外文名

    Worm.Blaster

  • 发作时间

    随机

  • 病毒类型

    蠕虫病毒

  • 传播途径

    网络/RPC漏洞

  • 喜欢

    找漏洞

折叠 编辑本段 基本简介

冲击波蠕虫(Worm.Blaster或Lovesan,也有译为“疾风病毒”)是一种散播于Microsoft操作系统,Windows XP与Windows 2000的蠕虫病毒,爆发于2003年8月。本蠕虫第一次被注意并如燎原火般散布,是在2003年的8月11日。它不断繁植并感染,在8月13日达到高峰,之后借助ISP与网络上散布的治疗方法阻止了此蠕虫的散布。在2003年8月29日,一个来自美国明尼苏达州的18岁年轻人Jeffrey Lee Parson由于创造了Blaster.B变种而被逮捕;他在2005年被判处十八个月的有期徒刑。

折叠 编辑本段 感染征兆

虽然此蠕虫只能在Windows 2000与XP上传播,但是它也可让执行RPC的操作系统如Windows NT、Windows XP(64 bit)与Windows Server 2003造成影响。一但此蠕虫在网络上侦测到连线(不论拨接或宽带),它将会造成此系统的不稳定并显示一道讯息以及在一分钟之内重新开机。

“Windows must now restart because the Remote Procedure Call (RPC) Service terminated unexpectedly。”

折叠 编辑本段 解决方案

Windows的错误讯息以及重开机状况可借由更改重开机服务的设定而避免,使得使用者有足够时间移除Blaster病毒以及安装漏洞的修补程式。此步骤如下:

进入:开始->执行

键入"services.msc"并按下 Enter

找出"Remote Procedure Call" 服务 (非RPC定位器),按下右键并选择属性(Properties)

选择修复分页,并设置失败行动选项为“不做动作”

选择确定

由于RPC是Windows的内嵌部件,因此失败动作在移除Blaster理应尽快设定回重开机。

另外一个阻止电脑重新开机的方法为:

进入:开始->执行

键入 "shutdown -a"并按下 Enter

如果你以管理者登入系统,这方法可以顺利停止重开机(-a代表Abort)。

以上动作必须在重开机讯息出现后,在时限内完成。而shutdown.exe档案并不能在Windows 2000直接找到,必须从Windows 2000资源包中提取出。

另外,执行Open Software Foundation的分散式运算环境有可能被此蠕虫造成的流量所影响。此蠕虫产生的网络封包对DCE造成DDoS,也会造成DCE的崩溃。

对微软Windows使用者的最佳方法是时时登入Microsoft Update,将系统保持在最新状态,以及更新防毒软件。Windows Update尤其重要,因为恶意软件(例如Blaster)常常利用最近找到的漏洞来破坏,因为这类的新漏洞许多使用者还来不及更新修正程序。  

折叠 编辑本段 影响方式

此蠕虫试图在8月15日发动一波SYN资讯洪水,目标是windowsupdate.com的80埠,借此对此网站做出分散式阻断服务攻击(DDoS)。由于此蠕虫的目标是windowsupdate.com(微软的重定向网站)而非windowsupdate.microsoft.com(微软更新的本站),因此微软便暂时地关闭此网站以降低此蠕虫对网站造成的可能影响。

此蠕虫借由一个在DCOM远程过程调用(RPC)出现的缓冲区溢位漏洞而在受影响的操作系统上散布。此漏洞的修补档已在一个月之前就已公布在MS03-026以及MS03-039上。

本蠕虫将两段讯息隐藏在程式码中:

第一个是:

“I just want to say LOVE YOU SAN!!”

也因为此句话,本蠕虫也称为Lovesan蠕虫。

第二个:

“billy gates why do you make this possible ? Stop making money and fix your software!!”

是一个给比尔·盖兹的讯息。他是微软的开创者,以及本蠕虫的攻击目标。

折叠 编辑本段 相关变种

折叠 冲击波V

警惕程度:★★★★★

发作时间:随机

病毒类型:蠕虫病毒

传播途径:网络/RPC漏洞

依赖系统: WINDOWS NT/2000/XP

病毒介绍 该变种病毒于2002年8月29日被瑞星全球反病毒监测网国内率先截获。该病毒变种在原始病毒上没有做大的改动,破坏力和“冲击波”病毒相同,只是重新改变了病毒互斥量、病毒文件名、注册表键值、攻击网址和病毒体内字符串,从而有效地躲避了杀毒软件的追杀。

病毒运行时会扫描网络,寻找操作系统为WINDOWS NT、2000、XP的计算机,然后通过RPC漏洞进行感染,并且绑定端口,危害系统。用户感染了该病毒后,计算机会出现各种异常情况,如:弹出RPC服务终止的对话框、系统反复重启、不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和ⅡS服务遭到非法拒绝服务等,另外,病毒大面积地泛滥还能使整个网络系统瘫痪。

病毒体内的字符串被改为:“I dedicate this particular strain to me ANG3L - hope yer enjoying yourself and don’t forget the promise for me B/DAY !!!!”。

折叠 冲击波Ⅵ

警惕程度:★★★★★

发作时间:随机

病毒类型:蠕虫病毒

传播途径:网络/RPC漏洞

依赖系统: WINDOWS NT/2000/XP

折叠 编辑本段 其他资料

FBI称冲击波病毒作者是一18岁少年

据Sohu报道,一名美国官员周四证实,联邦调查局(FBI)已经认定了一名18岁的少年是危险的蠕虫“冲击波”变种病毒(Blaster.B)的作者,计划在周五早晨逮捕他。

这名要求匿名的官员说,现在还不知道这名18岁少年的身份和家庭住址,他被控编写了“冲击波”蠕虫病毒。预计联邦调查局和在西雅图的美国司法部长办公室将在周五透露细节,在美国东部时间下午4:30计划召开新闻发布会。美国司法部长办公室的发言人哈丁表示,目前还没有人因此事被捕。据说一名证人看到这名少年测试病毒感染情况,并打电话报了警。

所有“冲击波”变种都利用了微软Windows操作系统的一种漏洞,微软在7月16日承认这种漏洞后,美国政府和业界专家就估计会出现病毒爆发。赛门铁克表示,“冲击波”蠕虫及其变种感染了50多万台计算机。

"冲击波"变种病毒作者获刑18个月

曾编写并散布了“冲击波”变种蠕虫病毒的美国青年杰弗里·帕森,2004年28日被美国西雅图一家地方法院判处18 个月徒刑。法官说,这对他已经是从轻处罚了。

据当地媒体报道,帕森,是美国明尼苏达州人。2003年8月,他将“冲击波”蠕虫病毒改编成“冲击波B”变种蠕虫并在网上散布,这一变种蠕虫攻击了至少4.8万台计算机。两个星期后,帕森在家中被美国联邦调查局侦探抓获。

去年,西雅图地方法院判定帕森因“攻击政府电脑”而有罪,他的最高刑期可能达10年,外加25万美元罚款。但在28日的判决中,法官认为帕森犯罪很大程度上是因为“教养不当”和“监管疏忽”,因而被判处了较短的刑期。

根据法院的判决,帕森在轻罪监狱服刑后,还必须参加10个月社区劳动,赔偿损失,并有3年监护期,有关民事赔偿的听证会将在2月举行。据微软公司的律师估计,赔偿额很可能高于100万美元。

“冲击波”及其几个变种借助网络传播,并利用了微软“视窗”操作系统的安全漏洞,被认为是破坏力最大的新型蠕虫病毒之一。根据微软公司的统计数据,自2003年以来全球已有800万至1600万台电脑被“冲击波”及其各个变种袭击,但“冲击波”蠕虫原型的编写者至今还没有被发现。

阅读全文

热点资讯