冲击波蠕虫
蠕虫病毒
冲击波蠕虫(Worm.Blaster或Lovesan,也有译为“疾风病毒”)是一种散播于Microsoft操作系统、Windows XP与Windows 2000的蠕虫病毒,爆发于2003年八月。
简介
本蠕虫第一次被注意并如燎原火般散布,是在2003年的8月11日。它不断繁植并感染,在8月13日达到高峰,之后借助ISP与网络上散布的治疗方法阻止了此蠕虫的散布。
在2003年8月29日,一个来自明尼苏达州的十八岁年轻人Jeffrey Lee Parson由于创造了Blaster.B变种而被逮捕;他在2005年被判处十八个月的有期徒刑。
影响方式
蠕虫试图在8月15日发动一波SYN资讯洪水,目标是windowsupdate的80埠,借此对此网站做出分散式阻断服务攻击(DDoS)。由于此蠕虫的目标是windowsupdate(微软的重定向网站)而非windowsupdate(微软更新的本站),因此微软便暂时地关闭此网站以降低此蠕虫对网站造成的可能影响。
此蠕虫借由一个在DCOM远程过程调用RPC)出现的缓冲区溢位漏洞而在受影响的操作系统上散布。此漏洞的修补档已在一个月之前就已公布在MS03-026以及MS03-039上。
本蠕虫将两段讯息隐藏在程式码中,第一个是:
I just want to say LOVE YOU SAN!!
也因为此句话,本蠕虫也称为Lovesan蠕虫。
第二个:
billy gates why do you make this possible ? Stop making money
and fix your software!!
是一个给比尔·盖兹的讯息。他是微软的开创者,以及本蠕虫的攻击目标。
感染征兆
虽然此蠕虫只能在Windows 2000与XP上传播,但是它也可让执行RPC的操作系统如Windows NT、Windows XP(64 bit)与Windows Server 2003造成不稳。一但此蠕虫在网络上侦测到连线(不论拨接或宽带),它将会造成此系统的不稳定并显示一道讯息以及在一分钟之内重新开机:
Windows must now restart because the Remote Procedure Call
(RPC) Service terminated unexpectedly.
解法
Windows的错误讯息以及重开机状况可借由更改重开机服务的设定而避免,使得使用者有足够时间移除Blaster病毒以及安装漏洞的修补程式。此步骤如下:
进入:开始——执行
选择修复分页,并设置失败行动选项为“不做动作”
选择确定
由于RPC是Windows的内嵌部件,因此失败动作在移除Blaster理应尽快设定回重开机。
另外一个阻止电脑重新开机的方法为:
进入:开始——执行
如果你以管理者登入系统,这方法可以顺利停止重开机(-a代表Abort)。
以上动作必须在重开机讯息出现后,在时限内完成。而shutdown.exe档案并不能在Windows 2000直接找到,必须从Windows 2000资源包中提取出。
另外,执行Open Software Foundation的分散式运算环境有可能被此蠕虫造成的流量所影响。此蠕虫产生的网络封包对DCE造成DDoS,也会造成DCE的崩溃。
微软Windows使用者的最佳方法是时时登入Microsoft Update,将系统保持在最新状态,以及更新防毒软件。Windows Update尤其重要,因为恶意软件(例如Blaster)常常利用最近找到的漏洞来破坏,因为这类的新漏洞许多使用者还来不及更新修正程式。
趣闻
在仔细检查Blaster的程序代码后,研究者发现源代码中内嵌了Parson的名字,而警方也因此逮捕了他。
参考资料
最新修订时间:2023-10-14 20:58
目录
概述
简介
影响方式
参考资料