震荡波病毒攻击与防范

1、摘 要随着计算机技术的发展和互联网的扩大。计算机已成为人们生活和工作中所依赖的重要工具。但与此同时，计算机病毒对计算机及网络的攻击与日俱增。而且破坏性日益严重。计算机病毒就像人类的病毒一样，目的是感染尽可能多的计算机。计算机一旦感染病毒，它就会发病。轻则冲击内存，影响运行速度，重则破坏硬盘数据、摧毁系统甚至计算机硬件。本文全面分析“震荡波”病毒给用户带来的不便以及此病毒的症状，并提供防范方法和清除手段。 关键词：震荡波；Lsass蠕虫病毒；网络安全；网络攻击。目 录摘 要 I目 录 II第一章 绪论 11.1开发历史 11.2病毒的简介 21.2.1宏病毒 21.2.2 CIH病毒 31.2.

2、3蠕虫病毒 31.2.4木马病毒 3第二章 蠕虫的基础知识 32.1 基础知识深悉 42.2蠕虫的工作原理 5第三章 震荡波的工作原理及用法 63.1震荡波简介 63.2震荡波的原理 63.3震荡波的传播途径及危害 83.3.1震荡波的传播途径 83.3.2震荡波的三大危害 83.4震荡波与冲击波的对比 93.4.1背景介绍 10 3.4.2两大恶性病毒的四大区别 10第四章 震荡波的防御 114.1快速识别震荡波病毒 114.2清除震荡波病毒 114.3震荡波病毒的预防 12第五章 结束语 135.1 论文心得 135.2感谢 132第1章 绪论1.1开发历史自从1987年发现了全世界首例计

3、算机病毒以来，病毒的数量早已超过1万种以上，并且还在以每年两千种新病毒的速度递增，不断困扰着涉及计算机领域的各个行业。计算机病毒的危害及造成的损失是众所周知的，发明计算机病毒的人同样也受到社会和公众舆论的谴责。也许有人会问：“计算机病毒是哪位先生发明的?”这个问题至今无法说清楚，但是有一点可以肯定，即计算机病毒的发源地是科学最发达的美国。 虽然全世界的计算机专家们站在不同立场或不同角度分析了病毒的起因，但也没有能够对此作出最后的定论，只能推测电脑病毒缘于以下几种原因：一、科幻小说的启发；二、恶作剧的产物；三、电脑游戏的产物；四、软件产权保护的结果。IT行业普遍认为，从最原始的单机磁盘病毒到现在

4、逐步进入人们视野的手机病毒，计算机病毒主要经历了五个重要的发展阶段。·第一阶段为原始病毒阶段。产生年限一般认为在1986-1989年之间，由于当时计算机的应用软件少，而且大多是单机运行，因此病毒没有大量流行，种类也很有限，病毒的清除工作相对来说较容易。主要特点是：攻击目标较单一；主要通过截获系统中断向量的方式监视系统的运行状态，并在一定的条件下对目标进行传染；病毒程序不具有自我保护的措施，容易被人们分析和解剖。·第二阶段为混合型病毒阶段。其产生的年限在19891991年之间，是计算机病毒由简单发展到复杂的阶段。计算机局域网开始应用与普及，给计算机病毒带来了第一次流行高峰。这

5、一阶段病毒的主要特点为：攻击目标趋于混合；采取更为隐蔽的方法驻留内存和传染目标；病毒传染目标后没有明显的特征；病毒程序往往采取了自我保护措施；出现许多病毒的变种等。·第三阶段为多态性病毒阶段。此类病毒的主要特点是，在每次传染目标时，放入宿主程序中的病毒程序大部分都是可变的。因此防病毒软件查杀非常困难。如1994年在国内出现的“幽灵”病毒就属于这种类型。这一阶段病毒技术开始向多维化方向发展。·第四阶段为网络病毒阶段。从上世纪90年代中后期开始，随着国际互联网的发展壮大，依赖互联网络传播的邮件病毒和宏病毒等大量涌现，病毒传播快、隐蔽性强、破坏性大。也就是从这一阶段开始，反病毒产

6、业开始萌芽并逐步形成一个规模宏大的新兴产业。·第五阶段为主动攻击型病毒。典型代表为2003年出现的“冲击波”病毒和2004年流行的“震荡波”病毒。这些病毒利用操作系统的漏洞进行进攻型的扩散，并不需要任何媒介或操作，用户只要接入互联网络就有可能被感染。正因为如此，该病毒的危害性更大。·第六阶段为“手机病毒”阶段。随着移动通讯网络的发展以及移动终端手机功能的不断强大，计算机病毒开始从传统的互联网络走进移动通讯网络世界。与互联网用户相比，手机用户覆盖面更广、数量更多，因而高性能的手机病毒一旦爆发，其危害和影响比“冲击波”“震荡波”等互联网病毒还要大。1.2病毒的简介从一九八三年计

7、算机病毒首次被确认以来，并没有引起人们的重视。直到一九八七年计算机病毒才开使受到世界范围内的普遍重视。我国于一九八九年在计算机界发现病毒。至今，全世界已发现近数万种病毒，并且还在高速度的增加。由于计算机软件的脆弱性与互联网的开放性，我们将与病毒长久共存。而且，病毒主要朝着能更好的隐蔽自己并对抗反病毒手段的方向发展。同时，病毒已被人们利用其特有的性质与其他功能相结合进行有目的的活动。 病毒的花样不断翻新，编程手段越来越高，防不胜防。特别是Internet的广泛应用，促进了病毒的空前活跃，网络蠕虫病毒传播更快更广，Windows病毒更加复杂，带有黑客性质的病毒和特络依木马等有害代码大量涌现。 1.

8、2.1宏病毒由于微软的Office系列办公软件和Windows系统占了绝大多数的PC软件市场，加上Windows和Office提供了宏病毒编制和运行所必需的库(以 VB库为主)支持和传播机会，所以宏病毒是最容易编制和流传的病毒之一，很有代表性。宏病毒发作方式: 在Word打开病毒文档时，宏会接管计算机，然后将自己感染到其他文档，或直接删除文件等等。Word将宏和其他样式储存在模板中，因此病毒总是把文档转换成模板再储存它们的宏。这样的结果是某些Word版本会强迫你将感染的文档储存在模板中。判断是否被感染: 宏病毒一般在发作的时候没有特别的迹象，通常是会伪装成其他的对话框让你确认。在感染了宏病毒的

9、机器上，会出现不能打印文件、Office文档无法保存或另存为等情况。宏病毒带来的破坏:删除硬盘上的文件;将私人文件复制到公开场合;从硬盘上发送文件到指定的E-mail、FTP地址。防范措施:平时最好不要几个人共用一个Office程序，要加载实时的病毒防护功能。病毒的变种可以附带在邮件的附件里，在用户打开邮件或预览邮件的时候执行，应该留意。一般的杀毒软件都可以清除宏病毒。1.2.2 CIH病毒CIH是本世纪最著名和最有破坏力的病毒之一，它是第一个能破坏硬件的病毒。发作破坏方式:主要是通过篡改主板BIOS里的数据，造成电脑开机就黑屏，从而让用户无法进行任何数据抢救和杀毒的操作。CIH的变种能在网络

10、上通过捆绑其他程序或是邮件附件传播，并且常常删除硬盘上的文件及破坏硬盘的分区表。所以CIH 发作以后，即使换了主板或其他电脑引导系统，如果没有正确的分区表备份，染毒的硬盘上特别是其C分区的数据挽回的机会很少。防范措施:已经有很多CIH免疫程序诞生了，包括病毒制作者本人写的免疫程序。一般运行了免疫程序就可以不怕CIH了。如果已经中毒，但尚未发作，记得先备份硬盘分区表和引导区数据再进行查杀，以免杀毒失败造成硬盘无法自举。1.2.3蠕虫病毒蠕虫病毒以尽量多复制自身(像虫子一样大量繁殖)而得名，多感染电脑和占用系统、网络资源，造成PC和服务器负荷过重而死机，并以使系统内数据混乱为主要的破坏方式。它不一

11、定马上删除你的数据让你发现，比如著名的爱虫病毒和尼姆达病毒。1.2.4木马病毒木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。传染方式:通过电子邮件附件发出;捆绑在其他的程序中。病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。 第2章 蠕虫的基本知识蠕虫病毒是一种常见的计算机病

12、毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序（或是一套程序），它能传播自身功能的拷贝或自身（蠕虫病毒）的某些部分到其他的计算机系统中（通常是经过网络连接）。 2.1 基础知识深悉蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中，并且使

13、用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"，蠕虫病毒一般是通过1434端口漏洞传播。比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种，2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。 蠕虫病毒2.2 蠕虫的工作原理蠕虫侵入一台计算机后，首先获取其他计算机的IP地址，然后将自身副

14、本发送给这些计算机.蠕虫病毒也使用存储在染毒计算机上的邮件客户端地址簿里的地址来传播程序。虽然有的蠕虫程序也在被感染的计算机中生成文件，但一般情况下，蠕虫程序只占用内存资源而不占用其它资源 蠕虫也是一种病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”，例如，Windows下可执行文件的格式为PE格式(Portable Executable)，当需要感染pe文件时，在宿主程序中，建立一个新段，将病毒代码写到新段中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之

15、后，在把控制权交给宿主原来的程序指令。可见，病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘、U盘（闪存盘）、移动硬盘等被感染，这张受感染的盘用在其他机器上后，同样也会感染其他机器，所以传播方式也可以是移动存储设备。 蠕虫一般不采取利用PE格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹，电子邮件Email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在

16、几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策! 蠕虫病毒由两部分组成：一个主程序和一个引导程序。 主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息。它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。随后，它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。 蠕虫病毒程序常驻于一台或多台机器中，并有自动重新定位(autoRelocation)的能力。如果它检测到网络中的某台机器未被占用，它就把自身的一个拷贝（一个程序段）发送给那台机器。每个程序段都能把自身的拷贝重新定位于另一台机器中，并且能识别它占用的哪台机器。

17、第3章 震荡波的工作原理及用法3.1震荡波简介震荡波是一种电脑病毒，为I-Worm/Sasser.a的第三方改造版本。该病毒为I-Worm/Sasser.a的第三方改造版本。与该病毒以前的版本相同，也为通过微软的最新LSASS漏洞进行传播，我们及时提醒广大用户及时下载微软的补丁程序来预防该病毒的侵害。如果在纯DOS环境下执行病毒文件，会显示出谴责美国大兵的英文语句。具体技术特征如下：1.感染系统为：Windows 2000、Windows Server 2003、Windows XP、Windows 72.利用微软的漏洞：MS04-011；3.病毒运行后，将自身复制为%WinDir%napat

18、ch.exe4.在注册表启动项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun下创建："napatch.exe" = %WinDir%napatch.exe;这样，病毒在Windows启动时就得以运行。5.在TCP端口5554建立FTP服务，用以将自身传播给其他计算机。6.随机在网络上搜索机器，向远程计算机的445端口发送包含后门程序的非法数据，远程计算机如果存在MS04-011漏洞，将会自动运行后门程序，打开后门端口9996。病毒利用后门端口9996，使得远程计算机连接病毒打开的FTP端口5554，下

19、载病毒体并运行，从而遭到感染。7.病毒还会利用漏洞攻击LSASS.EXE进程，被攻击计算机的LSASS.EXE进程会瘫痪，Windows系统将会有1分钟倒计时关闭的提示。8.病毒在C:win32.log中记录其感染的计算机数目和IP地址3.2震荡波的原理2004年4月30日发现的Sasser(震荡波)LSASS蠕虫病毒是一款使用Visual C语言编写的自身执行传播的病毒。 它主要针对eEye安全小组发现的Microsoft LSA缓冲区溢出漏洞进行攻击，该漏洞Microsoft公司已经于2004年4月13日发布了安全修补程序。与MSBlaster(冲击波)RPC DCOM蠕虫相似，Sasse

20、r使用了一个公开的LSA缓冲区溢出漏洞的攻击代码去攻击并试图获得受害主机的一个命令行下的shell。 一旦连接并获得shell，蠕虫会指示计算机系统到另外一个指定的FTP服务器上下载一个可执行的病毒体并执行拷贝任务。Sasser蠕虫所使用的攻击是houseofdabus黑客编写的溢出攻击代码，该攻击代码经测试是针对Windows 2000 Professional，Windows 2000 Server和Windows XP Professional等操作系统的英文和俄文版的操作系统。由于蠕虫使用的攻击代码本身的缺陷， 它只能影响到Windows XP和一些特定版本的Windows 2000

21、Professional。 目前没有任何特征表明除了传播外该病毒还有什么其他破坏性(给受害系统带来副作用)。为了确保病毒体在系统重启能构再次被执行，一个新的病毒体Sasser会把他自己拷贝到当前操作系统的系统根目录(WINDOWS或者WINNT)并且在注册表中添加到如下键值：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun这是malware在启动时候执行自己的恶意程序的经典用法。在感染完成后如果该计算机已经被该病毒感染过，这个新感染的病毒体会通过一个名为Jobaka3l的互斥体检测到并立刻停止感染。如果病毒实体是第一次感染该

22、计算机，它将打开一个使用端口5554的FTP并且创建128个线程开始无限传播循环。传播过程中，病毒会每3秒就调用AbortSystemShutdown API函数来保护病毒的后续感染工作。 Sasser仅挑选随机的IP地址进行扫描和攻击。当感染了该网段的某台主机后(它不会扫描，10.x.x.x，172.16-31.x.x，192.168.x.x和169.254.x.xIP的计算机)病毒会随机将尝试攻击的范围扩展到部分或者是整个网段。任何一次尝试中，大概有52%的机率IP地址是完全随机的，其中25%的机率IP地址的前16个字节将和本地IP相同。 (最后8个字节随机)，余下23%

23、的机率是本地IP的前面8个字节将被使用(剩下的24个字节随机)。 随机的8个字节将在0和254随机通过特殊的函数产生。蠕虫会尝试连接随机产生的IP地址的计算机系统TCP端口445，如果成功，病毒将发出一系列的数据包刺探对方主机的SMB Banner以便根据这些信息确认对方所运行的Windows系统版本。由于Windows 2000 Professional和Windows 2000 Server的banners是一样的，病毒会采用houseofdabus的攻击代码尝试所有的2000系统，因此缩小了病毒感染的成功率。一旦操作系统的版本已经选定，Sasser蠕虫将发送LSA攻击代码并且尝试连接TC

24、P端口9996以获得命令行下的shell。如果成功，病毒会在受害的计算机上执行如下命令去下载并且运行蠕虫的可执行文件。3.3 震荡波的传播途径及危害3.3.1震荡波的传播途径Sasser(震荡波)病毒利用微软WindowsNT内核平台上的LSASS漏洞，随机的扫描其它网络中计算机的IP端口，然后进行传播。可以利用防火墙阻止该病毒的传播，但安全专家建议，给系统打上MS04011补丁是最根本的解决措施。 病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、

25、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。 3.3.2震荡波的三大危害该病毒主要有三大危害：一是大量占用系统资源导致计算机无法正常运行，使相关的网络服务陷于瘫痪；二是造成电脑频繁重启，用户的作业受到严重影响；三是阻塞网络通道，导致互联网接入以及相关的网络程序无法正常运行。另外，由于该病毒利用操作系统漏洞进行传播，许多防病毒软件和防火墙软件尚不能有效查杀，所以极易在单位的局域网范围内迅速扩散，造成整个网络的瘫痪。该病毒与去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒相比有过之而无不及。 由于环境不同，各种行业系

26、统感染“震荡波”病毒以后表现也不同。在金融系统主要表现为服务器停止响应用户的账单申请，终端用户无法通过网络查询、办理业务；电信和网络运营商可能因感染病毒使用户无法接入；个人用户会因电脑频繁启动、响应缓慢而无法正常工作；该病毒会使系统的“安全认证子系统”（）崩溃，使与安全认证有关的程序出现严重运行错误；有些特殊行业用户还可能因系统意外停机而造成数据丢失或损毁，后果十分严重。由于该病毒导致电脑频繁重新启动，不明原因的用户往往会怀疑是主板等硬件故障。3.4震荡波与冲击波的对比3.4.1背景介绍冲击波（Worm.Blaster）病毒2003年8月12日全球爆发，该病毒由于是利用系统漏洞进行传播，因此，

27、没有打补丁的电脑用户都会感染该病毒，从而使电脑出现系统重启、无法正常上网等现象。2004年5月1日，“震荡波(Worm.Sasser)”病毒在网络出现，该病毒也是通过系统漏洞进行传播的，感染了病毒的电脑会出现系统反复重启、机器运行缓慢，出现系统异常的出错框等现象。3.4.2两大恶性病毒的四大区别一、 利用的漏洞不同冲击波（Worm.Blaster）病毒利用的是系统的RPC 漏洞，病毒攻击系统时会使RPC服务崩溃，该服务是Windows操作系统使用的一种远程过程调用协议。震荡波(Worm.Sasser)病毒利用的是系统的LSASS服务，该服务是操作系统的使用的本地安全认证子系统服务。二、 产生的

28、文件不同冲击波（Worm.Blaster）病毒运行时会在内存中产生名为msblast.exe的进程，在系统目录中产生名为msblast.exe的病毒文件，震荡波(Worm.Sasser)病毒运行时会在内存中产生名为avserve.exe的进程，在系统目录中产生名为avserve.exe的病毒文件。三、 利用的端口不同冲击波（Worm.Blaster）病毒会监听端口69,模拟出一个TFTP服务器，并启动一个攻击传播线程,不断地随机生成攻击地址，尝试用有RPC漏洞的135端口进行传播。震荡波(Worm.Sasser)病毒会本地开辟后门，听TCP的5554端口，然后做为FTP服务器等待远程控制命令，

29、并疯狂地试探连接445端口。四、 攻击目标不同冲击波（Worm.Blaster）病毒攻击所有存在有RPC漏洞的电脑和微软升级网站，而震荡波(Worm.Sasser)病毒攻击的是所有存在有LSASS漏洞的电脑，但目前还未发现有攻击其它网站的现象。第4章 震荡波的防御4.1快速识别震荡波病毒如果用户的电脑中出现下列现象之一，则表明已经中毒，就应该立刻采取措施清除该病毒。一、出现系统错误对话框被攻击的用户，如果病毒攻击失败，则用户的电脑会出现 LSA Shell 服务异常框，接着出现一分钟后重启计算机的“系统关机”框。二、系统日志中出现相应记录如果用户无法确定自己的电脑是否出现过上述的异常框或系统重

30、启提示，还可以通过查看系统日志的办法确定是否中毒。方法是，运行事件查看器程序，查看其中系统日志，如果出现如下图所示的日志记录，则证明已经中毒。三、系统资源被大量占用病毒如果攻击成功，则会占用大量系统资源，使CPU占用率达到100%，出现电脑运行异常缓慢的现象。四、内存中出现名为 avserve 的进程病毒如果攻击成功，会在内存中产生名为 avserve.exe 的进程，用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”，然后查看是内存里是否存在上述病毒进程。五、系统目录中出现名为 avserve.exe 的病毒文件病毒如果攻击成功，会在系统安装目录（默认为 C:WINNT ）下产

31、生一个名为avserve.exe 的病毒文件。6、 注册表中出现病毒键值注册表的 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 项中建立病毒键值："avserve.exe "="%WINDOWS%avserve.exe " 。4.2清除震荡波病毒1、断网打补丁如果不给系统打上相应的漏洞补丁，则连网后依然会遭受到该病毒的攻击，用户应该先下载相应的漏洞补丁程序，然后断开网络，运行补丁程序，当补丁安装完成后再上网。2、清除内存中的病毒进程要想彻底清除该病毒，应该先清除内存中的病毒进程，用户可以按CTRL+SHIFT+ESC三或者