冲击波病毒(冲击波病毒怎么处理)

编者按:网络空安全近年来成为公众关注的焦点。中科院之声特别邀请业内专家“大东”开设“大东方言安全”专栏。

首先，预言——这个“冲击波”不是另一个“冲击波”

大东:小白，你在看什么？你太激动了。

小白:变形金刚，里面的冲击波是如此强大。

冲击波(来源:百度图片)

大东:你知道电脑病毒也有冲击波，也很厉害吗？

小白:我不知道，东哥，跟我说说吧。

二、事件——冲击波电脑病毒爆发。

大东:冲击波电脑病毒于2004年4月30日爆发，短时间内造成了全球数千万美元的损失。

小白:感染了冲击波病毒的电脑有什么特征？

大东:电脑一旦被抓，会莫名其妙的死机或重启，而在纯DOS环境下执行病毒文件，会显示谴责美国大兵的英文句子。

电脑被冲击波病毒感染(来源:逍遥科技说)

小白:多么难忘的四月。

大东:Sasser (Shockwave) LSASS蠕虫是一种用Visual C语言编写的自执行病毒。

小白:用C语言写的？

大东:是的，主要攻击eEye安全团队发现的微软LSA缓冲区溢出漏洞。

小白:这个病毒是有目的的攻击？

大东:是的，Sasser worm使用的攻击是溢出攻击代码，经过测试针对Windows 2000 Professional、Windows 2000 Server、Windows XP Professional等操作系统的英文版和俄文版。

小白:这意味着一些系统没有被冲击波病毒感染，对吗？

大东:由于蠕虫本身使用的攻击代码存在缺陷，只能影响Windows XP和Windows 2000 Professional的部分特定版本。目前，没有迹象表明该病毒除传播外还有任何其他破坏性影响(对受影响系统的副作用)。

小白:尽管如此，这种病毒还是带来了很多损失。

大东:损失大概几个亿吧。各行业系统因为环境不同，感染“冲击波”病毒后表现也不一样。在财务系统中，服务器停止响应用户的账单申请。

小白:那你就不能通过互联网查询和办理业务了。

大东:电信和网络运营商可能阻止用户上网；由于病毒感染；用户会因为电脑频繁启动，反应慢而无法正常工作。

小白:这对我们日常使用电脑和生活有很大的影响。

大东:不仅如此，病毒还会使Windows系统的“LASS”崩溃，造成安全认证相关程序的严重运行错误；一些特殊行业的用户也可能因为意外的系统宕机而丢失或破坏自己的数据，后果非常严重。

电脑被冲击波病毒感染(来源:百度文库)

大东:由于病毒导致电脑频繁重启，不明原因的用户往往会怀疑是主板等硬件故障。

小白:那病毒是如何通过电脑传播的呢？

大东:别急，我慢慢跟你说。

第三，大话连篇

大东:病毒在运行的时候，会不断的利用IP扫描技术在网络上寻找Win2K或者XP系统的电脑。找到它后，它会利用DCOM RPC缓冲区漏洞攻击系统。一旦攻击成功，病毒会传播到对方电脑进行感染，使系统运行异常，不断重启，甚至导致系统崩溃。

小白:那我不能改变系统吗？

大东:此外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致网站被封锁，用户无法通过网站升级系统。

小白:太糟糕了。

大东:为了保证系统重启时病毒可以再次执行，一个新的病毒Sasser会把自己复制到当前操作系统的根目录(\WINDOWS或\WINNT)并在注册表中添加键值。

大东:感染完成后，如果电脑已经被病毒感染，新感染的病毒会被一个名为Jobaka3l的互斥体检测到，并立即停止感染。

小白:如果这是你第一次被感染呢？

大东:如果一个病毒实体第一次感染这台电脑，它会使用端口5554打开一个FTP，创建128个线程，开始无限的传播循环。

大东:在传输过程中，Sasser只选择随机的IP地址进行扫描攻击。当该网段内的主机被感染时，病毒会随机将攻击企图的范围扩大到部分或整个网段。

小白:它们都是随机的吗？

大东:在任何尝试中，大概有52%的概率IP地址是完全随机的，25%的概率IP地址的前16个字节会和本地IP相同。(最后8个字节是随机的)，剩下的23%的概率是会使用本地IP的前8个字节(剩下的24个字节是随机的)。随机的8个字节将由0和254处的特殊函数随机生成。

小白:如果你成功连接到一个随机的IP地址，这是一个成功的感染吗？

大东:蠕虫会尝试用随机生成的IP地址连接到计算机系统的TCP端口445。如果成功，病毒会发出一系列数据包，确认对方运行的Windows系统版本。一旦选择了操作系统的版本，Sasser worm将发送LSA攻击代码，并尝试连接到TCP端口9996，以获得命令行下的外壳。如果成功，病毒将在受害计算机上执行以下命令，下载并运行蠕虫可执行文件。

小白:以前好像有过冲击波病毒。他们的名字很相似。他们之间是什么关系？

大东:与MSBlaster RPC DCOM蠕虫类似，Sasser使用开放的LSA缓冲区溢出漏洞的攻击代码进行攻击，并试图在受害主机的命令行下获取外壳。

冲击波和冲击波的区别(来源:百度文库)

小白:有什么区别吗？

大东:第一个区别是使用的漏洞不一样。

小白:冲击波病毒使用系统LSASS服务。

大东:是的，这个服务是操作系统的本地安全认证子系统服务。

小白:冲击波利用了什么漏洞？

大东:冲击波病毒利用了系统的RPC漏洞。当病毒攻击系统时，它会使RPC服务崩溃，RPC服务是Windows操作系统使用的远程过程调用协议。

小白:哦，哦，我明白了。还有其他区别吗？

大东:两种电脑病毒产生的文件不一样。

小白:都有。exe文件放在最后。

大东:是的，但当冲击波病毒运行时，它会在内存中生成一个名为msblast.exe的进程，并在系统目录中生成一个名为msblast.exe的病毒文件。冲击波病毒运行时，会在内存中生成一个名为avserve.exe的进程，在系统目录中生成一个名为avserve.exe的病毒文件。

大东:而且两种病毒攻击的目标和端口是不一样的。

小白:有很多不同之处。

大东:冲击波病毒攻击所有存在RPC漏洞的电脑和微软升级网站，冲击波病毒攻击所有存在LSASS漏洞的电脑，目前还没有发现其他网站。

小白:刚才听了东哥的讲解，我知道冲击波病毒会在本地打开后门，监听TCP端口5554，然后作为FTP服务器等待远程控制命令，疯狂地尝试连接445端口。对吗？

大东:没错，而且冲击波病毒会监听69端口，模拟一个TFTP服务器，启动一个攻击传播线程，不断随机生成攻击地址，试图通过135端口利用RPC漏洞进行传播。

小白:那我们应该如何防范呢？

第四，小白的内在理论——预防冲击波病毒

小白:我们应该如何防范冲击波病毒的入侵？

大东:保护好你的电脑。如果可能的话，给自己的电脑安装一个防火墙，可以限制病毒的危害，保证病毒被清除后不会卷土重来。Windows XP自带防火墙，可以通过微软网站(microsoft.com/security/protect)安装。该网站还告诉旧Windows的用户如何安装这种防火墙。另外，你也可以从第三方公司获得防火墙。由于冲击波会影响电脑上网，安装防火墙后要运行扫描程序，检查病毒是否又回到了你的电脑上。

防火墙(来源:百度图片)

小白:还有其他措施吗？

大东:防止再次感染。安装一些其他安全补丁，以保护您的计算机在未来免受其他病毒的侵害。注意不要过早地恢复您的系统恢复功能，并确保您没有感染病毒，并且您的计算机得到了适当的保护。

小白:计算机病毒能做任何其他程序能做的事，唯一的区别是它把自己附着在另一个程序上，并在主程序运行时秘密执行它。病毒一旦执行，可以完成任何功能，比如删除程序和文件，危害极大。

大东:目前很多人还没有养成定期系统升级维护的习惯，这也是很多人被病毒感染的原因之一。只要培养良好的病毒防范意识，充分发挥杀毒软件的防护能力，就可以彻底将大部分病毒拒之门外。

五、那一年——脸书的创作

大东:你知道2004年2月一个著名的社交软件上市了吗？

小白:这不会难倒我。是脸书。

大东:当然可以。

大东:2004年2月4日，著名的哈佛大学学生马克·扎克伯格发布了一个名为facebook的小型社交网络。到目前为止，脸书经历了巨大的发展。今天，Forbes.com总结了脸书在过去12年中的主要重新设计和新特点，如下:

早期的脸书界面(来源:Niuhua.com)

大东:脸书的原貌如下图所示。在拥有10亿用户之前，这个网站只提供给哈佛学生访问。随着时间的推移，脸书变得越来越完美。