摘要:冲击波病毒曾在2000年至2005年集中爆发,这种病毒会让系统的运行速度和上网速度严重的变慢甚至崩溃,让人们头痛不已。本文对冲击波病毒的特征进行了总结,并提出了一定的防御措施。
关键词:冲击波病毒;特征;防御措施
中图分类号:TP393 文献标识码:A 文章编号:1671-864X(2016)03-0195-01
冲击波病毒,故名思意,就是放出一波波的冲击波来进行攻击,它不断的扫描附近的ip并发送大量的垃圾报文来阻塞网络,这种病毒会让系统的运行速度和上网速度严重的变慢甚至崩溃[1]。
一、冲击波病毒特征
冲击波病毒发作时大概会有以下几个特征:
(1)运行时将自身复制为%systemdir%\“冲击波病毒”.exe,%systemdir%是一个环境变量,它指的是操作系统安装目录中的系统目录,在x86的操纵系统中默认是“c:\windows\system32”。
(2)冲击波病毒运行时会在系统进程中建立一个互斥进程,目的是在内存中只有一份病毒进程,以免被用户发现。病毒运行时会在内存建立一个进程,该进程就是活的病毒体,此进程可能会类似于系统进程,从而以免被手动发现,比如,expl0rer,svch0st等。
(3)病毒会修改注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run中添加键值:“windows auto update”=“活体病毒程序.exe”,来让每次系统重启时,病毒都会自动运行,在注册表添加的自启程序一般不会被注意到,所以用户根本无法察觉。
(4)病毒会以指定时间为间隔,每个指定时间检测一次网络状态,当网络可用时,病毒会在本地的UDP/69端口上建立一个TFPT服务器,并启动一个攻击传播线程,不断的随机生成攻击地址,进行攻击,以最近的ip地址为优先目标。
(5)当病毒寻找到终端后,就会向目标终端的135端口发送数据流。
(6)当病毒攻击成功后,目标计算机便会监听TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到4444端口,发送TFTP下载信息,目标主机通过TFTP下载并运行病毒。
(7)当病毒攻击失败时,可能会造成没有打补丁的windows系统服务崩溃,系统可能会自动重启计算机。
(8)病毒检测系统日期,如果在最新病毒补丁发布后,则向windows更新站点发动DDOS攻击,使微软网站的更新站点无法为用户提供服务。
二、冲击波病毒的防御
冲击波病毒利用了windows系统的DCOM RPC缓冲区漏洞攻击系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,不需要用户的参与[2]。
对于冲击波病毒这种不同与一般病毒的病毒,既表现出了非同一般的破坏功能,也表现出了自身的特点,变种多,功能变种大,但是当前的反病毒厂商仍然利用传统的病毒特征串查毒法进行查毒[3],虽然病毒库日益更新,效率也越来越高,但是琼斯病毒的出现,宣判了这种特征码查毒的死刑[4],针对该类蠕虫病毒,本文建议做如下措施:
(1)针对在邮件上传播的蠕虫病毒:把杀毒软件安装在邮件服务器上,对收信发信内容进行过滤,对邮件所携带的附件进行杀毒,在用户使用的客户端上限制以下扩展名的附件运行,如.vbs、.js、.exe等;用户不给予权限运行可疑邮件携带的附件。
(2)针对弱口令共享传播的病毒:严格来说,这种蠕虫病毒大多数利用了系统漏洞来进行传播,通过猜测弱口令和一些特定的开放端口来进行传播。甚至更高级的病毒还自带了黑客字典来进行弱口令的破解,网络上泛滥的黑客字典给了这些病毒极大的便利。对于这样的病毒,要定期修改自己的管理员密码,管理员要定期的通过工具扫描校内开放端口的流量情况,并尝试对部分主机的开放端口进行尝试破解,及时的发现并解决问题。
(3)针对通过系统漏洞传播的病毒:自动更新配置国际功能,主机要及时安装系统补丁,防患于未然,通过定期的漏洞扫描产品主机找到漏洞,发现漏洞,及时升级,注意安全警示系统供应商,安全厂商,如有问题,采取相应的措施。
(4)重命名或者删除命令解释器;如Windows系统下的WScript.exe;通过防火墙禁止其他端口以外的服务端口,切断病毒传播渠道和沟通渠道。
作为网络管理员来说,需要掌握一些软件的基本使用,比如sniffer,如果发现网络异常,可以通过sniffer迅速的判断问题出自哪里,蠕虫病毒会建立大量的连接来使网络拥塞,关注那些流量非常大的计算机,比如某一台计算机的连接,收到的数据包是0,而发出的数据包却有455个,这对HTTP协议来说显然是不正常的,它是基于TCP的,而TCP是面向连接的协议,不可能只发不收,这样就可以确认出问题的主机,如果通过具体的病毒,会发现,蠕虫病毒发包的目的地址非常的多,而且通常每个地址只发两个数据包,也就是HTTP的SYN包,SYN包是三次握手时建立连接的包,也就是说,该主机试图同网络中非常多的主机建立连接,但没有得到任何回应,这种建立很明显是不正常的,可能是某种软件或者感染了某种采用HTTP协议传播的病毒导致,定位了具体IP,再到相应的主机寻找问题就简单了许多。
三、结论
冲击波病毒在2000年至2005年曾经让人们头痛不已[5],当时的网络技术发展远非今日可比,今日,我们不仅出现了计算机网络、云计算、大数据处理、社交网络、甚至还有多种基于不同传感器、不同技术的无线网络,在这样复杂的网络环境下,重新认识并解读冲击波病毒,对我们现在网络技术的发展是很有必要的。
参考文献:
[1]柏桥. “冲击波”病毒斩立决[J]. 网络与信息,2003,17(9):73.
[2]洪亮. 由“冲击波”病毒谈Windows RPC/DCOM漏洞[J]. 扬州教育学院学报,2004,22(3):66-68.
[3]梁宏,张健. 冲击后的反思—“冲击波”病毒事件引起的思考[J]. 网络安全技术与应用,2003,3(10):9-11.
[4]许信玉. 从冲击波病毒看蠕虫的防范[J]. 有线电视技术,2004,11(10):71-72.
[5]张傲翔. “冲击波”病毒洞穿全球安全防线[J]. 信息网络安全,2003,3(9):23-24.
作者简介:黎明(1982-),女,讲师,硕士,主要从事网络安全研究。