冲击波病毒网络安全

《冲击波病毒网络安全》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、主讲人：冲击波病毒病毒档案警惕程度：★★★★病毒类型：蠕虫病毒发作时间：随机传播途径：网络/RPC漏洞依赖系统：Windows2000WindowsXPWindowsServer2003RPCRPC（RemoteProcedureCallProtocol）远程过程调用协议它是一种通过网络从远程计算机程序上请求服务。病毒档案警惕程度：★★★★发作时间：随机病毒类型：蠕虫病毒传播途径：网络/RPC漏洞依赖系统：Windows2000WindowsXPWindowsServer2003病毒原理利用微软公司公布的RPC漏洞进行传播的，只要是计算机上有RPC服

2、务并且没有打安全补丁的计算机都存在有RPC漏洞。病毒运行时......不停地利用IP扫描技术寻找网络上系统为XP的计算机,找到后就利用DCOMRPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。DCOM分布式组件对象模型微软软件的一系列程序接口，利用这个接口，客户端程序对象能够请求来自网络中另一台计算机上的服务器程序对象。分布式组件对象模型基于组件对象模型（COM），COM提供了

3、一套允许同一台计算机上的客户端和服务器之间进行通信的接口。病毒运行时......不停地利用IP扫描技术寻找网络上系统为XP的计算机,找到后就利用DCOMRPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。病毒发作系统资源被大量占用，并且系统反复重启，不能收发邮件、不能正常复制文件、无法正常浏览网页，复制粘贴等操作受到严重破坏，且不能复制粘贴，有时会弹出RPC服务终止的对话框。病毒

4、如何进行......1.将自身复制到window目录下，并命名为.msblast.exe。⒉病毒运行时会在系统中建立一个名为：“BILLY”的互斥量，目的是病毒只保证在内存中有一份病毒体，为了避免用户发现。⒊病毒运行时会在内存中建立一个名为：“msblast.exe”的进程，该进程就是活的病毒体。⒋病毒会修改注册表，以便每次启动系统时，病毒都会运行。会以20秒为间隔，每20秒检测一次网络状态，当网络可用时，病毒会在本地建立一个服务器并启动一个攻击传播线程，不断地随机生成攻击地址，进行攻击。另外该病毒攻击时，会首先搜索子网的IP地址，以便就近攻击。当病

5、毒扫描到计算机后，就会向目标计算机端口发送攻击数据。成功后，便会监听目标计算机的端口，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送命令，回连到发起进攻的主机，将msblast.exe传到目标计算机上并运行。病毒如何进行......若失败——会造成没有打补丁的Windows系统RPC服务崩溃。造成WindowsServer2003系统的RPC服务崩溃，默认情况下是系统反复重启。有意思的是......病毒体内隐藏有一段文本信息：IjustwanttosayLOVEYOUSAN!!BillGateswhydoyoumakethispossibleS

6、topmakingmoneyandfixyoursoftware!!SAN:存储区域网络，是一种高速网络或子网络，提供在计算机与存储系统之间的数据传输手工清除方案DOS环境下清除该病毒：⒈用DOS系统启动盘启动进入DOS环境下，进入C盘的操作系统目录.操作命令集：C:CDC:windows（或CDc:winnt)⒉查找目录中的“msblast.exe”病毒文件。命令操作集：dirmsblast.exe/s/p⒊找到后进入病毒所在的子目录，然后直接将该病毒文件删除。使用杀毒软件清除推荐使用：瑞星杀毒