震蕩波病毒攻擊與防范_第1頁
震蕩波病毒攻擊與防范_第2頁
震蕩波病毒攻擊與防范_第3頁
震蕩波病毒攻擊與防范_第4頁
震蕩波病毒攻擊與防范_第5頁
已閱讀5頁,還剩10頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、摘 要隨著計算機技術(shù)的發(fā)展和互聯(lián)網(wǎng)的擴大。計算機已成為人們生活和工作中所依賴的重要工具。但與此同時,計算機病毒對計算機及網(wǎng)絡(luò)的攻擊與日俱增。而且破壞性日益嚴重。計 算機病毒就像人類的病毒一樣,目的是感染盡可能多的計算機。計算機一旦感染病毒, 它就會發(fā)病。輕則沖擊內(nèi)存,影響運行速度,重則破壞硬盤數(shù)據(jù)、摧毀系統(tǒng)甚至計算機硬件。 本文全面分析“震蕩波”病毒給用戶帶來的不便以及此病毒的癥狀,并提供防范方法和清除手段。關(guān)鍵詞:震蕩波;Lsass蠕蟲病毒;網(wǎng)絡(luò)安全;網(wǎng)絡(luò)攻擊。摘要1目錄11第一章緒論1.1開發(fā)歷史錯誤!未定義書簽。2#1.2病毒的簡介 21.2.1宏病毒21.2.2 CIH 病毒 31.2

2、.3蠕蟲病毒31.2.4木馬病毒 3第二章蠕蟲的基礎(chǔ)知識2.1基礎(chǔ)知識深悉2.2蠕蟲的工作原理 5第三章震蕩波的工作原理及用法 63.1震蕩波簡介 63.2震蕩波的原理 63.3震蕩波的傳播途徑及危害3.3.1震蕩波的傳播途徑 83.3.2震蕩波的三大危害 83.4震蕩波與沖擊波的對比 93.4.1背景介紹錯誤!未定義書簽。3.4.2兩大惡性病毒的四大區(qū)別10錯誤!未定義書簽。第四章震蕩波的防御114.1快速識別震蕩波病毒114.2清除震蕩波病毒114.3震蕩波病毒的預(yù)防 12第五章結(jié)束語135.1論文心得 135.2感謝 13第一章 緒論1.1 開發(fā)歷史自從 1987 年發(fā)現(xiàn)了全世界首例計算

3、機病毒以來,病毒的數(shù)量早已超過 1 萬 種以上,并且還在以每年兩千種新病毒的速度遞增, 不斷困擾著涉及計算機領(lǐng)域 的各個行業(yè)。 計算機病毒的危害及造成的損失是眾所周知的, 發(fā)明計算機病毒的 人同樣也受到社會和公眾輿論的譴責(zé)。 也許有人會問: “計算機病毒是哪位先生 發(fā)明的?”這個問題至今無法說清楚,但是有一點可以肯定,即計算機病毒的發(fā) 源地是科學(xué)最發(fā)達的美國。雖然全世界的計算機專家們站在不同立場或不同角度分析了病毒的起因, 但 也沒有能夠?qū)Υ俗鞒鲎詈蟮亩ㄕ?,只能推測電腦病毒緣于以下幾種原因:一、 科 幻小說的啟發(fā);二、惡作劇的產(chǎn)物;三、電腦游戲的產(chǎn)物;四、軟件產(chǎn)權(quán)保護的 結(jié)果。 IT 行業(yè)普遍

4、認為,從最原始的單機磁盤病毒到現(xiàn)在逐步進入人們視野的 手機病毒,計算機病毒主要經(jīng)歷了五個重要的發(fā)展階段。第一階段為原始病毒階段。產(chǎn)生年限一般認為在 1986-1989年之間,由于當(dāng)時 計算機的應(yīng)用軟件少, 而且大多是單機運行,因此病毒沒有大量流行,種類也很 有限,病毒的清除工作相對來說較容易。主要特點是:攻擊目標較單一;主要通 過截獲系統(tǒng)中斷向量的方式監(jiān)視系統(tǒng)的運行狀態(tài), 并在一定的條件下對目標進行 傳染;病毒程序不具有自我保護的措施,容易被人們分析和解剖。第二階段為混合型病毒階段。其產(chǎn)生的年限在 1989- 1991年之間,是計算機 病毒由簡單發(fā)展到復(fù)雜的階段。 計算機局域網(wǎng)開始應(yīng)用與普及,

5、 給計算機病毒帶 來了第一次流行高峰。這一階段病毒的主要特點為:攻擊目標趨于混合; 采取更 為隱蔽的方法駐留內(nèi)存和傳染目標; 病毒傳染目標后沒有明顯的特征; 病毒程序 往往采取了自我保護措施;出現(xiàn)許多病毒的變種等。第三階段為多態(tài)性病毒階段。此類病毒的主要特點是,在每次傳染目標時,放 入宿主程序中的病毒程序大部分都是可變的。 因此防病毒軟件查殺非常困難。 如 1994 年在國內(nèi)出現(xiàn)的“幽靈”病毒就屬于這種類型。這一階段病毒技術(shù)開始向 多維化方向發(fā)展。第四階段為網(wǎng)絡(luò)病毒階段。從上世紀 90 年代中后期開始,隨著國際互聯(lián)網(wǎng)的 發(fā)展壯大,依賴互聯(lián)網(wǎng)絡(luò)傳播的郵件病毒和宏病毒等大量涌現(xiàn),病毒傳播快、 隱

6、蔽性強、 破壞性大。 也就是從這一階段開始, 反病毒產(chǎn)業(yè)開始萌芽并逐步形成一 個規(guī)模宏大的新興產(chǎn)業(yè)。第五階段為主動攻擊型病毒。 典型代表為 2003年出現(xiàn)的“沖擊波”病毒和 2004 年流行的“震蕩波”病毒。 這些病毒利用操作系統(tǒng)的漏洞進行進攻型的擴散, 并 不需要任何媒介或操作,用戶只要接入互聯(lián)網(wǎng)絡(luò)就有可能被感染。正因為如此, 該病毒的危害性更大。第六階段為“手機病毒”階段。隨著移動通訊網(wǎng)絡(luò)的發(fā)展以及移動終端-手 機功能的不斷強大,計算機病毒開始從傳統(tǒng)的互聯(lián)網(wǎng)絡(luò)走進移動通訊網(wǎng)絡(luò)世界。 與互聯(lián)網(wǎng)用戶相比,手機用戶覆蓋面更廣、 數(shù)量更多, 因而高性能的手機病毒一 旦爆發(fā),其危害和影響比“沖擊波”

7、“震蕩波”等互聯(lián)網(wǎng)病毒還要大。1.2 病毒的簡介從一九八三年計算機病毒首次被確認以來, 并沒有引起人們的重視。 直到一 九八七年計算機病毒才開使受到世界范圍內(nèi)的普遍重視。 我國于一九八九年在計 算機界發(fā)現(xiàn)病毒。至今,全世界已發(fā)現(xiàn)近數(shù)萬種病毒,并且還在高速度的增加。 由于計算機軟件的脆弱性與互聯(lián)網(wǎng)的開放性,我們將與病毒長久共存。而且, 病 毒主要朝著能更好的隱蔽自己并對抗反病毒手段的方向發(fā)展。 同時,病毒已被人 們利用其特有的性質(zhì)與其他功能相結(jié)合進行有目的的活動。病毒的花樣不斷翻新, 編程手段越來越高,防不勝防。 特別是 Internet 的 廣泛應(yīng)用,促進了病毒的空前活躍,網(wǎng)絡(luò)蠕蟲病毒傳播更快

8、更廣, Win dows病毒 更加復(fù)雜,帶有黑客性質(zhì)的病毒和特絡(luò)依木馬等有害代碼大量涌現(xiàn)。1.2.1 宏病毒由于微軟的Office系列辦公軟件和 Windows系統(tǒng)占了絕大多數(shù)的PC軟件市場, 加上Windows和Office提供了宏病毒編制和運行所必需的庫(以VB庫為主)支 持和傳播機會,所以宏病毒是最容易編制和流傳的病毒之一,很有代表性。宏病毒發(fā)作方式:在Word打開病毒文檔時,宏會接管計算機,然后將自己 感染到其他文檔,或直接刪除文件等等。 Word 將宏和其他樣式儲存在模板中, 因此病毒總是把文檔轉(zhuǎn)換成模板再儲存它們的宏。這樣的結(jié)果是某些Word版本會強迫你將感染的文檔儲存在模板中。判

9、斷是否被感染 : 宏病毒一般在發(fā)作的時候沒有特別的跡象, 通常是會偽裝成其他的對話框讓你確認。 在感染了宏病毒 的機器上,會出現(xiàn)不能打印文件、 Office 文檔無法保存或另存為等情況。宏病毒帶來的破壞 : 刪除硬盤上的文件 ; 將私人文件復(fù)制到公開場合 ; 從硬盤 上發(fā)送文件到指定的E-mail、FTP地址。防范措施 : 平時最好不要幾個人共用一個 Office 程序,要加載實時的病毒防 護功能。病毒的變種可以附帶在郵件的附件里, 在用戶打開郵件或預(yù)覽郵件的時 候執(zhí)行,應(yīng)該留意。一般的殺毒軟件都可以清除宏病毒。1.2.2 CIH 病毒CIH是本世紀最著名和最有破壞力的病毒之一,它是第一個能破

10、壞硬件的病 毒。發(fā)作破壞方式:主要是通過篡改主板BIOS里的數(shù)據(jù),造成電腦開機就黑屏, 從而讓用戶無法進行任何數(shù)據(jù)搶救和殺毒的操作。 CIH的變種能在網(wǎng)絡(luò)上通過捆 綁其他程序或是郵件附件傳播,并且常常刪除硬盤上的文件及破壞硬盤的分區(qū) 表。所以 CIH 發(fā)作以后,即使換了主板或其他電腦引導(dǎo)系統(tǒng),如果沒有正確的 分區(qū)表備份,染毒的硬盤上特別是其 C分區(qū)的數(shù)據(jù)挽回的機會很少。防范措施 : 已經(jīng)有很多 CIH 免疫程序誕生了,包括病毒制作者本人寫的免疫 程序。一般運行了免疫程序就可以不怕 CIH 了。如果已經(jīng)中毒,但尚未發(fā)作,記 得先備份硬盤分區(qū)表和引導(dǎo)區(qū)數(shù)據(jù)再進行查殺,以免殺毒失敗造成硬盤無法自 舉

11、。1.2.3 蠕蟲病毒蠕蟲病毒以盡量多復(fù)制自身 (像蟲子一樣大量繁殖 ) 而得名,多感染電腦和占 用系統(tǒng)、網(wǎng)絡(luò)資源,造成 PC和服務(wù)器負荷過重而死機,并以使系統(tǒng)內(nèi)數(shù)據(jù)混亂 為主要的破壞方式。 它不一定馬上刪除你的數(shù)據(jù)讓你發(fā)現(xiàn), 比如著名的愛蟲病毒 和尼姆達病毒。1.2.4 木馬病毒木馬病毒源自古希臘特洛伊戰(zhàn)爭中著名的“木馬計”而得名, 顧名思義就是 一種偽裝潛伏的網(wǎng)絡(luò)病毒,等待時機成熟就出來害人。傳染方式 : 通過電子郵件附件發(fā)出 ; 捆綁在其他的程序中。病毒特性 : 會修改注冊表、駐留內(nèi)存、在系統(tǒng)中安裝后門程序、開機加載附 帶的木馬。木馬病毒的破壞性 : 木馬病毒的發(fā)作要在用戶的機器里運行客

12、戶端程序,一 旦發(fā)作, 就可設(shè)置后門, 定時地發(fā)送該用戶的隱私到木馬程序指定的地址, 一般 同時內(nèi)置可進入該用戶電腦的端口,并可任意控制此計算機,進行文件刪除、 拷 貝、改密碼等非法操作。第二章 蠕蟲的基本知識蠕蟲病毒是一種常見的計算機病毒。 它是利用網(wǎng)絡(luò)進行復(fù)制和傳播, 傳染途 徑是通過網(wǎng)絡(luò)和電子郵件。最初的蠕蟲病毒定義是因為在 DOS境下,病毒發(fā)作 時會在屏幕上出現(xiàn)一條類似蟲子的東西, 胡亂吞吃屏幕上的字母并將其改形。 蠕 蟲病毒是自包含的程序(或是一套程序) ,它能傳播自身功能的拷貝或自身(蠕 蟲病毒)的某些部分到其他的計算機系統(tǒng)中(通常是經(jīng)過網(wǎng)絡(luò)連接) 。2.1基礎(chǔ)知識深悉蠕蟲病毒是自

13、包含的程序(或是一套程序),它能傳播它自身功能的拷貝或它 的某些部分到其他的計算機系統(tǒng)中(通常是經(jīng)過網(wǎng)絡(luò)連接)。請注意,與一般病毒不同,蠕蟲 不需要將其自身附著到宿主程序, 有兩種類型的蠕蟲:主機蠕蟲與網(wǎng)絡(luò)蠕蟲。 主 計算機蠕蟲完全包含在它們運行的計算機中, 并且使用網(wǎng)絡(luò)的連接僅將自身拷貝 到其他的計算機中,主計算機蠕蟲在將其自身的拷貝加入到另外的主機后,就會終止它自身(因此在任意給定的時刻,只有一個蠕蟲的拷貝運行),這種蠕蟲有時 也叫野兔,蠕蟲病毒一般是通過1434端口漏洞傳播。比如近幾年危害很大的“尼姆亞”病毒就是蠕蟲病毒的一種,2007年1月流行的“熊貓燒香”以及其變種也是蠕蟲病毒。 這

14、一病毒利用了微軟視窗操作系 統(tǒng)的漏洞,計算機感染這一病毒后,會不斷自動撥號上網(wǎng),并利用文件中的地址 信息或者網(wǎng)絡(luò)共享進行傳播,最終破壞用戶的大部分重要數(shù)據(jù)。2004年病毒疫悄圖網(wǎng)埔天空謾情用門 SCO炸強 小暗 垃眼帰悪 蕙求駅您高液觀蕩渡 瑚渡rl:此軟攜來母于瑞崔仝以反病*魚測坷(圏冉邯事址計鵰星窯戶赧抄申亡和虜星.屋故済*.用戶反燃.貳覺測宵匙轉(zhuǎn)星弼牛.蠕蟲病毒2.2 蠕蟲的工作原理蠕蟲侵入一臺計算機后,首先獲取其他計算機的 IP 地址,然后將自身副本 發(fā)送給這些計算機 . 蠕蟲病毒也使用存儲在染毒計算機上的郵件客戶端地址簿里 的地址來傳播程序。 雖然有的蠕蟲程序也在被感染的計算機中生成

15、文件, 但一般 情況下,蠕蟲程序只占用內(nèi)存資源而不占用其它資源蠕蟲也是一種病毒,因此具有病毒的共同特征。 一般的病毒是需要的寄生的, 它可以通過自己指令的執(zhí)行, 將自己的指令代碼寫到其他程序的體內(nèi), 而被感染 的文件就被稱為”宿主”,例如, Windows 下可執(zhí)行文件的格式為 PE 格式 (Portable Executable),當(dāng)需要感染pe文件時,在宿主程序中,建立一個新段, 將病毒代碼寫到新段中,修改的程序入口點等,這樣,宿主程序執(zhí)行的時候,就 可以先執(zhí)行病毒程序, 病毒程序運行完之后, 在把控制權(quán)交給宿主原來的程序指 令??梢?,病毒主要是感染文件,當(dāng)然也還有像 DIRII 這種鏈接

16、型病毒,還有引 導(dǎo)區(qū)病毒。引導(dǎo)區(qū)病毒他是感染磁盤的引導(dǎo)區(qū),如果是軟盤、 U 盤(閃存盤)、 移動硬盤等被感染, 這張受感染的盤用在其他機器上后, 同樣也會感染其他機器, 所以傳播方式也可以是移動存儲設(shè)備。蠕蟲一般不采取利用PE格式插入文件的方法,而是復(fù)制自身在互聯(lián)網(wǎng)環(huán)境 下進行傳播, 病毒的傳染能力主要是針對計算機內(nèi)的文件系統(tǒng)而言, 而蠕蟲病毒 的傳染目標是互聯(lián)網(wǎng)內(nèi)的所有計算機 . 局域網(wǎng)條件下的共享文件夾,電子郵件 Email ,網(wǎng)絡(luò)中的惡意網(wǎng)頁,大量存在著漏洞的服務(wù)器等都成為蠕蟲傳播的良好 途徑。網(wǎng)絡(luò)的發(fā)展也使得蠕蟲病毒可以在幾個小時內(nèi)蔓延全球 ! 而且蠕蟲的主動 攻擊性和突然爆發(fā)性將使得

17、人們手足無策 !蠕蟲病毒由兩部分組成:一個主程序和一個引導(dǎo)程序。 主程序一旦在機器 上建立就會去收集與當(dāng)前機器聯(lián)網(wǎng)的其它機器的信息。 它能通過讀取公共配置文 件并運行顯示當(dāng)前網(wǎng)上聯(lián)機狀態(tài)信息的系統(tǒng)實用程序而做到這一點。 隨后,它嘗 試利用前面所描述的那些缺陷去在這些遠程機器上建立其引導(dǎo)程序。蠕 蟲 病 毒 程序 常 駐于一 臺 或 多臺 機 器中 , 并有 自 動重 新 定位 (autoRelocation) 的能力。如果它檢測到網(wǎng)絡(luò)中的某臺機器未被占用, 它就把自 身的一個拷貝(一個程序段)發(fā)送給那臺機器。 每個程序段都能把自身的拷貝重 新定位于另一臺機器中,并且能識別它占用的哪臺機器。第三

18、章震蕩波的工作原理及用法3.1震蕩波簡介震蕩波是一種電腦病毒,為l-Worm/Sasser.a的第三方改造版本。該病毒為l-Worm/Sasser.a的第三方改造版本。與該病毒以前的版本相同,也為通過微 軟的最新LSASS漏洞進行傳播,我們及時提醒廣大用戶及時下載微軟的補丁程序 來預(yù)防該病毒的侵害。如果在純DOS境下執(zhí)行病毒文件,會顯示出譴責(zé)美國大 兵的英文語句。具體技術(shù)特征如下:1. 感染系統(tǒng)為: Windows 2000 Windows Server 2003、Windows XP Windows 72. 利用微軟的漏洞:MS04-011;3. 病毒運行后,將自身復(fù)制為 WinDir%na

19、patch.exe4. 在注冊表啟動項 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下創(chuàng)建:napatch.exe = %WinDir%napatch.exe;這樣,病毒在Win dows啟動時就得以運行。5. 在TCP端 口 5554建立FTP服務(wù),用以將自身傳播給其他計算機。6. 隨機在網(wǎng)絡(luò)上搜索機器,向遠程計算機的445端口發(fā)送包含后門程序的非法數(shù) 據(jù),遠程計算機如果存在 MS04-011漏洞,將會自動運行后門程序,打開后門端口 9996。病毒利用后門端口 9996,使得遠程計算機連接病毒打開的FTP端口 555

20、4, 下載病毒體并運行,從而遭到感染。7. 病毒還會利用漏洞攻擊LSASS.EX進程,被攻擊計算機的LSASS.EXES程會癱 瘓,Windows系統(tǒng)將會有1分鐘倒計時關(guān)閉的提示。8. 病毒在C:win32.log 中記錄其感染的計算機數(shù)目和IP地址3.2震蕩波的原理2004年4月30日發(fā)現(xiàn)的Sasser(震蕩波兒SASS蠕蟲病毒是一款使用 VisualC語言編寫的自身執(zhí)行傳播的病毒。它主要針對eEye安全小組發(fā)現(xiàn)的MicrosoftLSA緩沖區(qū)溢出漏洞進行攻擊,該漏洞 Microsoft公司已經(jīng)于2004年4月13日發(fā)布了安全修補程序。與 MSBIaster(沖擊波)RPC DCOM蠕蟲相似

21、,Sasser使用 了一個公開的 LSA 緩沖區(qū)溢出漏洞的攻擊代碼去攻擊并試圖獲得受害主機的一 個命令行下的 shell 。 一旦連接并獲得 shell ,蠕蟲會指示計算機系統(tǒng)到另外一 個指定的FTP服務(wù)器上下載一個可執(zhí)行的病毒體并執(zhí)行拷貝任務(wù)。Sasser 蠕蟲所使用的攻擊是 houseofdabus 黑客編寫的溢出攻擊代碼,該攻 擊代碼經(jīng)測試是針對 Windows 2000 Professional , Windows 2000 Server 和 Windows XP Professional 等操作系統(tǒng)的英文和俄文版的操作系統(tǒng)。由于蠕蟲使 用的攻擊代碼本身的缺陷,它只能影響到Window

22、sXP和一些特定版本的Windows 2000 Professional 。 目前沒有任何特征表明除了傳播外該病毒還有什么其他破 壞性( 給受害系統(tǒng)帶來副作用 )。為了確保病毒體在系統(tǒng)重啟能構(gòu)再次被執(zhí)行,一個新的病毒體 Sasser 會把 他自己拷貝到當(dāng)前操作系統(tǒng)的系統(tǒng)根目錄 (WINDOWS或者WINNT)并且在注冊表 中添加到如下鍵值: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 這是 malware 在啟動時候執(zhí)行自己的惡意程序的經(jīng)典用法。 在感染完成后如 果該計算機已經(jīng)被該病毒感染過, 這個新感染的病毒體會通過

23、一個名為 Jobaka3l 的互斥體檢測到并立刻停止感染。 如果病毒實體是第一次感染該計算機, 它將打 開一個使用端口 5554的FTP并且創(chuàng)建128個線程開始無限傳播循環(huán)。傳播過程中,病毒會每 3 秒就調(diào)用 AbortSystemShutdown API 函數(shù)來保護病 毒的后續(xù)感染工作。 Sasser 僅挑選隨機的 IP 地址進行掃描和攻擊。當(dāng)感染了 該網(wǎng)段的某臺主機后 (它不會掃描 , 10.x.x.x , 172.16-31.x.x,192.168.x.x 和 169.254.x.xIP 的計算機)病毒會隨機將嘗試攻擊的范圍擴展到 部分或者是整個網(wǎng)段。任何一次嘗試中,

24、大概有52%的機率 IP 地址是完全隨機的,其中 25%的機率 IP 地址的前 16個字節(jié)將和本地 IP 相同。 ( 最后 8個字節(jié) 隨機),余下 23%的機率是本地 IP 的前面 8個字節(jié)將被使用 (剩下的 24個字節(jié)隨 機)。 隨機的 8個字節(jié)將在 0和 254隨機通過特殊的函數(shù)產(chǎn)生。 蠕蟲會嘗試連接 隨機產(chǎn)生的IP地址的計算機系統(tǒng)TCP端口 445,如果成功,病毒將發(fā)出一系列 的數(shù)據(jù)包刺探對方主機的 SMB Banner 以便根據(jù)這些信息確認對方所運行的 Windows系統(tǒng)版本。由于 Windows 2000 Professional 和 Windows 2000 Server 的 ba

25、nners 是一樣的,病毒會采用 houseofdabus 的攻擊代碼嘗試所有的 2000系 統(tǒng),因此縮小了病毒感染的成功率一旦操作系統(tǒng)的版本已經(jīng)選定, Sasser 蠕蟲將發(fā)送 LSA 攻擊代碼并且嘗試 連接TCP端口 9996以獲得命令行下的shell。如果成功,病毒會在受害的計算 機上執(zhí)行如下命令去下載并且運行蠕蟲的可執(zhí)行文件。3.3 震蕩波的傳播途徑及危害3.3.1 震蕩波的傳播途徑Sasser(震蕩波)病毒利用微軟 WindowsNT內(nèi)核平臺上的LSASSS洞,隨機的 掃描其它網(wǎng)絡(luò)中計算機的 IP 端口,然后進行傳播??梢岳梅阑饓ψ柚乖摬《?的傳播,但安全專家建議,給系統(tǒng)打上 MS

26、0令011補丁是最根本的解決措施。病毒運行時會不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Win2K或XP的計算 機,找到后就利用DCOM RP緩沖區(qū)漏洞攻擊該系統(tǒng),一旦攻擊成功,病毒體將 會被傳送到對方計算機中進行感染,使系統(tǒng)操作異常、不停重啟、 甚至導(dǎo)致系統(tǒng) 崩潰。另外,該病毒還會對微軟的一個升級網(wǎng)站進行拒絕服務(wù)攻擊, 導(dǎo)致該網(wǎng)站 堵塞,使用戶無法通過該網(wǎng)站升級系統(tǒng)。3.3.2 震蕩波的三大危害該病毒主要有三大危害:一是大量占用系統(tǒng)資源導(dǎo)致計算機無法正常運行, 使相關(guān)的網(wǎng)絡(luò)服務(wù)陷于癱瘓; 二是造成電腦頻繁重啟, 用戶的作業(yè)受到嚴重影響; 三是阻塞網(wǎng)絡(luò)通道,導(dǎo)致互聯(lián)網(wǎng)接入以及相關(guān)的網(wǎng)絡(luò)程序無法正常

27、運行。另外, 由于該病毒利用操作系統(tǒng)漏洞進行傳播, 許多防病毒軟件和防火墻軟件尚不能有 效查殺, 所以極易在單位的局域網(wǎng)范圍內(nèi)迅速擴散,造成整個網(wǎng)絡(luò)的癱瘓。 該病 毒與去年夏天造成大規(guī)模電腦系統(tǒng)癱瘓的“沖擊波”病毒相比有過之而無不及。由于環(huán)境不同, 各種行業(yè)系統(tǒng)感染“震蕩波”病毒以后表現(xiàn)也不同。 在金融 系統(tǒng)主要表現(xiàn)為服務(wù)器停止響應(yīng)用戶的賬單申請,終端用戶無法通過網(wǎng)絡(luò)查詢、 辦理業(yè)務(wù);電信和網(wǎng)絡(luò)運營商可能因感染病毒使用戶無法接入INTERNE T;個人用戶會因電腦頻繁啟動、 響應(yīng)緩慢而無法正常工作;該病毒會使WIN DOWS系統(tǒng)的“安全認證子系統(tǒng)”(LSASS )崩潰,使與安全認證有關(guān)的程序出

28、現(xiàn)嚴重運行錯誤; 有些特殊行業(yè)用戶還可能因系統(tǒng)意外停機而造成數(shù)據(jù)丟 失或損毀,后果十分嚴重。 由于該病毒導(dǎo)致電腦頻繁重新啟動, 不明原因的用戶 往往會懷疑是主板等硬件故障。i世 收范 X*幫助迅3.4震擊波名稱(.圣出R圣斗:圣士I佳斗: 沱圣斗圣乂:.荃斗二I國圣斗:圣斗二.圣土圣耳:i 圣斗:圣斗HA:工尼g圣訃士翼王雋加藝和曙鬻熬:芙機是由骯AUTHORITY SYSTEM 瞬的離關(guān)機還有:00:00:50消息系揚址理程序C WlifDOWSEystemSEllwasM exe 意外 絳止伏態(tài)碼為-1073?11819系妬現(xiàn) 在將關(guān)機,并重新啟動圣斗士耳壬篇10圣斗士翼王篇11圣斗士冥王

29、著山圣卻士同王曽13TS M 丄沁田 gf 4BI Cd J fuD70,06375,02467,409現(xiàn)9SSS6,797T 4 EHLKB KB BKB KB Wb沖擊疲*矢*矢責(zé)2003年巧月12曰利用漏濟的速度昂天1別VBR軌VBB&TesnrearA.RtalHedi a RealH edi a BeallpdiaRealMedi aRetllediiVEBVERVBRVBEVBRVER恚蕩波LT夭蕩波與沖的對比MS03-026Uf i t i c al/咼危KB823980MSO4-O11Critic al,咼危0335732Windows ITT 4. 0, 2000, XP,2

30、000, KF, 20032003系統(tǒng)EPC服務(wù)耀沖區(qū)LSASE服務(wù)緩沖區(qū)溢出溢出WLndcws HT 4. ,利用疋口僱Jf方式攻擊目標miblCM TCF 135, TCF14仇 UEF 69通過鎰出代瑪將病耒自身嶷制到目標系統(tǒng)上執(zhí)行有RFC漏洞的系統(tǒng)和微軟升毀網(wǎng)站avserve.乂上,avserve2.TCF 5554. TCF 4 5,TCF 996通過溢出代碼將病壽自身篡制到呂標系統(tǒng)上執(zhí)行有LEASE漏洞的系統(tǒng)攻擊后對系系統(tǒng)崩潰后倒計時系読崩演后倒計時重啟接索文件夾4重啟否否是古苦苦是古町以目掏倔養(yǎng)3.4.1 背景介紹沖擊波(Worm.Blaster )病毒2003年8月12日全球爆

31、發(fā),該病毒由于是利 用系統(tǒng)漏洞進行傳播,因此, 沒有打補丁的電腦用戶都會感染該病毒, 從而使電 腦出現(xiàn)系統(tǒng)重啟、無法正常上網(wǎng)等現(xiàn)象。2004年5月1日,“震蕩波(Worm.Sasser) ”病毒在網(wǎng)絡(luò)出現(xiàn),該病毒也是 通過系統(tǒng)漏洞進行傳播的, 感染了病毒的電腦會出現(xiàn)系統(tǒng)反復(fù)重啟、 機器運行緩 慢,出現(xiàn)系統(tǒng)異常的出錯框等現(xiàn)象。3.4.2 兩大惡性病毒的四大區(qū)別一、利用的漏洞不同沖擊波(Worm.Blaster )病毒利用的是系統(tǒng)的 RPC漏洞,病毒攻擊系統(tǒng)時 會使RPC服務(wù)崩潰,該服務(wù)是 Windows操作系統(tǒng)使用的一種遠程過程調(diào)用協(xié)議。 震蕩波(Worm.Sasser)病毒利用的是系統(tǒng)的LSA

32、SS服務(wù),該服務(wù)是操作系統(tǒng)的使 用的本地安全認證子系統(tǒng)服務(wù)。二、產(chǎn)生的文件不同沖擊波(Worm.Blaster)病毒運行時會在內(nèi)存中產(chǎn)生名為 msblast.exe的進 程,在系統(tǒng)目錄中產(chǎn)生名為 msblast.exe的病毒文件,震蕩波(Worm.Sasser)病 毒運行時會在內(nèi)存中產(chǎn)生名為 avserve.exe 的進程,在系統(tǒng)目錄中產(chǎn)生名為 avserve.exe 的病毒文件。三、利用的端口不同沖擊波(Worm.Blaster )病毒會監(jiān)聽端口 69,模擬出一個TFTP服務(wù)器,并 啟動一個攻擊傳播線程,不斷地隨機生成攻擊地址,嘗試用有 RPC漏洞的135端 口進行傳播。震蕩波(Worm.S

33、asser)病毒會本地開辟后門,聽TCP的5554端口, 然后做為FTP服務(wù)器等待遠程控制命令,并瘋狂地試探連接 445端口。四、攻擊目標不同沖擊波(Worm.Blaster)病毒攻擊所有存在有RPCS洞的電腦和微軟升級網(wǎng) 站,而震蕩波(Worm.Sasser)病毒攻擊的是所有存在有LSASS漏洞的電腦,但目 前還未發(fā)現(xiàn)有攻擊其它網(wǎng)站的現(xiàn)象。第四章 震蕩波的防御4.1 快速識別震蕩波病毒如果用戶的電腦中出現(xiàn)下列現(xiàn)象之一, 則表明已經(jīng)中毒, 就應(yīng)該立刻采取措 施清除該病毒。一、出現(xiàn)系統(tǒng)錯誤對話框被攻擊的用戶,如果病毒攻擊失敗,則用戶的電腦會出現(xiàn) LSA Shell 服務(wù) 異???,接著出現(xiàn)一分鐘后

34、重啟計算機的“系統(tǒng)關(guān)機”框。二、系統(tǒng)日志中出現(xiàn)相應(yīng)記錄如果用戶無法確定自己的電腦是否出現(xiàn)過上述的異??蚧蛳到y(tǒng)重啟提示, 還 可以通過查看系統(tǒng)日志的辦法確定是否中毒。方法是,運行事件查看器程序, 查 看其中系統(tǒng)日志,如果出現(xiàn)如下圖所示的日志記錄,則證明已經(jīng)中毒。三、系統(tǒng)資源被大量占用病毒如果攻擊成功,則會占用大量系統(tǒng)資源,使CPU占用率達到100%出現(xiàn)電腦運行異常緩慢的現(xiàn)象。四、內(nèi)存中出現(xiàn)名為 avserve 的進程病毒如果攻擊成功,會在內(nèi)存中產(chǎn)生名為 avserve.exe 的進程,用戶可以 用 Ctrl+Shift+Esc 的方式調(diào)用“任務(wù)管理器” ,然后查看是內(nèi)存里是否存在上 述病毒進程。五、系統(tǒng)目錄中出現(xiàn)名為 avserve.exe 的病毒文件病毒如果攻擊成功, 會在系統(tǒng)安裝目錄(默認為 C:WINNT )下產(chǎn)生一個名 為 avserve.exe 的病毒文件。六、注冊表中出現(xiàn)病毒鍵值注冊表的 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 項中建立病毒鍵值: avserve.exe =%WINDOWS%avserve.exe 。4.2 清除震蕩波病毒1 、斷網(wǎng)打補丁如果不給系統(tǒng)打上相應(yīng)的漏洞補丁,則連網(wǎng)后依然會遭受到該病毒的攻擊, 用戶應(yīng)該先下載相應(yīng)的漏洞補丁程序

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論