冲击波震荡波

1、主讲人：刘洁琼成员： 徐奇鹏、吕春雪、南宫丹丹、薛鸿佳、王志强、张宇翔目录1冲击波简介2冲击波工作原理3震荡波简介4震荡波工作原理冲击波简介概念：病毒档案冲击波（Worm.Blaster）病毒是利用微软公司在7月21日公布的RPC漏洞进行传播的，只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞，具体涉及的操作系统是：Windows2000、XP、Server 2003。病毒档案警惕程度：发作时间：随机病毒类型：蠕虫病毒传播途径：网络/RPC漏洞依赖系统：Microsoft Windows NT 4.0 / Microsoft Windows 2000/ Microsoft

2、 Windows XP/Microsoft Windows Server 2003冲击波简介病毒介绍该病毒于2002年8月12日被瑞星全球反病毒监测网率先截获。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。在2002年8月16日以后，该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。冲击波（Worm.Blaster）病毒

3、是利用微软公司在7月21日公布的RPC漏洞进行传播的，只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞，具体涉及的操作系统是：Windows2000、XP、Server 2003。该病毒感染系统后，会使计算机产生下列现象：系统资源被大量占用，有时会弹出RPC服务终止的对话框，并且系统反复重启，不能收发邮件、不能正常复制文件、无法正常浏览网页，复制粘贴等操作受到严重破坏，且不能复制粘贴。发作现象冲击波工作原理Let me tell you该病毒运行时会将自身复制到windows目录下，命名为：msblast.exe进程，该进程是活的病毒体。病毒运行时会在系统中建立一个名为：

4、“BILLY”的互斥量，在内存中保存一份病毒体。该病毒会在注册表的（HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun）中添加值：windows auto update=msblast.exe，每次启动系统时，病毒便会自动运行。该病毒以20秒检测一次网络状态，网络可用时，病毒会在本地的UDP/69端口上建立tftp服务器，启动攻击传播线程，随机生成攻击地址。病毒扫描到计算机后，会向目标计算机的TCP/135端口发送攻击数据。攻击成功后，目标计算机的TCP/4444端口作为监听后门，绑定cmd.exe。蠕虫会连接到这个端口，发送

5、tftp命令，回连到目标主机，将msblast.exe传到目标计算机上并自动运行。该病毒攻击失败时，会造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系统会自动重启计算机。感染该蠕虫病毒后会出现以下现象，Word、Excel、Powerpoint等文件无法正常运行，弹出找不到链接文件的对话框，一些功能如“粘帖”等无法正常使用，控制面板出现异常、系统文件无法正常显示、Windows界面下的功能无法正常使用、计算机反复重新启动等现象。详细介绍祥细介绍1、病毒运行时会在内存中建立一个名为：“msblast.exe”的进程，该进程就是活的病毒体。2、 病毒会修改注册表，在HKEY

6、_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中添加以下键值：windows auto update=msblast.exe，以便每次启动系统时，病毒都会运行。3、 病毒体内隐藏有一段文本信息：I just want to say LOVE YOU SAN!bill gates why do you make this possible Stop making money and fix your software!详细介绍4、病毒会以20秒为间隔，每20秒检测一次网络状态，当网络可用时，病毒会在本地的UDP/69端口上建立一个t

7、ftp服务器，并启动一个攻击传播线程，不断地随机生成攻击地址，进行攻击，另外该病毒攻击时，会首先搜索子网的IP地址，以便就近攻击。5、 当病毒扫描到计算机后，就会向目标计算机的TCP/135端口发送攻击数据。6、 当病毒攻击成功后，便会监听目标计算机的TCP/4444端口作为后门，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到目标计算机上并运行。7、当病毒攻击失败时，可能会造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003，但

8、是可以造成Windows Server2003系统的RPC服务崩溃，默认情况下是系统反复重启。冲击波症状注意、注意1、莫名其妙地死机或重新启动计算机或显示60秒倒计时关机；2、IE浏览器不能正常地打开链接；3、不能复制粘贴；4、有时出现应用程序异常，比如Word异常；5、网络变慢；最重要的是，在任务管理器里有一个叫“msblast.exe”的进程在运行！冲击波应对措施1. 病毒通过微软的最新RPC漏洞进行传播，因此用户应先给系统打上RPC补丁，补丁地址：http:/ 病毒运行时会建立一个名为：“BILLY”的互斥量，使病毒自身不重复进入内存，并且病毒在内存中建立一个名为：“msblast”的进

9、程，用户可以用任务管理器将该病毒进程终止。3. 病毒运行时会将自身复制为：%systemdir%/msblast.exe,用户可以手动删除该病毒文件。注意：%Windir%是一个变量，它指的是操作系统安装目录，默认是：“C:/Windows”或：“c:/Winnt”,也可以是用户在安装操作系统时指定的其它目录.4. 病毒会修改注册表的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run项，在其中加入：windows auto update=msblast.exe，进行自启动，用户可以手工清除该键值。5. 病毒会用到13

10、5、4444、69等端口，用户可以使用防火墙软件将这些端口禁止或者使用“TCP/IP筛选” 功能，禁止这些端口。震荡波简介Let me tell you病毒中文名：震荡波病毒英文名：Worm.Sasser病毒作者：Sven Jaschan1 病毒大小：15,872字节病毒类型：蠕虫病毒危险等级：传播途径：网络受影响系统：Windows NT/2000/XP/2003变种：Worm.Sasser.b/c/d感染的系统：Microsoft Windows 2000Microsoft Windows XPMicrosoft Windows Server 2003/2003 R2未受影响的系统：Mic

11、rosoft Windows 98Microsoft Windows MEMicrosoft Windows VistaMicrosoft Windows 7Microsoft Windows Server 2008/2008 R2介绍介绍：该病毒为I-Worm/Sasser.a的第三方改造版本。与该病毒以前的版本相同，也为通过微软的最新LSASS漏洞进行传播，。我们及时提醒广大用户及时下载微软的补丁程序来预防该病毒的侵害。如果在纯DOS环境下执行病毒文件，会显示出谴责美国大兵的英文语句工作原理1.感染系统为：Windows 2000、Windows Server 2003、Windows X

12、P、Windows 72.利用微软的漏洞：MS04-011；3.病毒运行后，将自身复制为%WinDir%napatch.exe4.在注册表启动项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun下创建：napatch.exe = %WinDir%napatch.exe；这样，病毒在Windows启动时就得以运行。5.在TCP端口5554建立FTP服务，用以将自身传播给其他计算机。6.随机在网络上搜索机器，向远程计算机的445端口发送包含后门程序的非法数据，远程计算机如果存在MS04-011漏洞，将会自动运行后门程序，打开后门

13、端口9996。病毒利用后门端口9996，使得远程计算机连接病毒打开的FTP端口5554，下载病毒体并运行，从而遭到感染。7.病毒还会利用漏洞攻击LSASS.EXE进程，被攻击计算机的LSASS.EXE进程会瘫痪，Windows系统将会有1分钟倒计时关闭的提示。8.病毒在C:win32.log中记录其感染的计算机数目和IP地址震荡波症状（1）进程中出现 avserve.exe 和 *_up.exe，占用大量资源；其中*为从065535之间的随机数字（2）出现LSA Shell错误；（3）导致系统进程lsass.exe错误，并进而导致计算机强迫重启；（4）有网友反馈计算机的管理员权限帐户口令被修改。震荡波应对措施1）安装微软的安全更新 KB837001，KB828741，KB835732；推