冲击波蠕虫
技术名称 | Blaster |
---|---|
别名 | 冲击波蠕虫 |
家族 | M.Blaster家族 |
分类 | 电脑蠕虫 |
感染系统 | Windows |
发现时间 | 2003年8月11日 |
来源地 | 美国明尼苏达州 |
作者 | Jeffrey Lee Parson |
冲击波蠕虫(英语:Worm.Blaster或Lovesan,也有译为“疾风病毒”)是一种散播于Microsoft操作系统,Windows XP与Windows 2000的蠕虫病毒,爆发于2003年8月。
本蠕虫第一次被注意并如燎原火般散布,是在2003年的8月11日。它不断繁殖并感染,在8月13日达到高峰,之后借助ISP与网络上散布的治疗方法阻止了此蠕虫的散布。
在2003年8月29日,一个来自美国明尼苏达州的18岁年轻人杰弗里·李·帕森(Jeffrey Lee Parson)由于创造了Blaster.B变种而被逮捕;他在2005年被判处十八个月的有期徒刑。
影响方式
[编辑]此蠕虫试图在8月15日发动一波SYN信息洪水,目标是windowsupdate.com (页面存档备份,存于互联网档案馆)的80端口,借此对此网站做出分布式拒绝服务攻击(DDoS)。由于此蠕虫的目标是windowsupdate.com(微软的重定向网站)而非windowsupdate.microsoft.com(微软更新的本站),因此微软便暂时地关闭此网站以降低此蠕虫对网站造成的可能影响。
此蠕虫借由一个在DCOM远程过程调用(RPC)出现的缓存溢出漏洞而在受影响的操作系统上散布。此漏洞的修补档已在一个月之前就已公布在MS03-026以及MS03-039上。
本蠕虫将两段消息隐藏在代码中,第一个是:
“ | I just want to say LOVE YOU SAN!! | ” |
也因为此句话,本蠕虫也称为Lovesan蠕虫。
第二个:
“ | billy gates why do you make this possible ? Stop making money and fix your software!! |
” |
是一个给比尔·盖茨(微软的开创者,以及本蠕虫的攻击目标)的消息:“为什么比尔·盖茨要让这(漏洞)可行?不要只顾著赚钱并赶快修补软件漏洞!!”。
感染征兆
[编辑]虽然此蠕虫只能在Windows 2000与XP上传播,但是它也可让执行RPC的操作系统如Windows NT、Windows XP (64 bit)与Windows Server 2003造成不稳。一旦此蠕虫在网络上侦测到连线(不论拨接或宽带),它将会造成此系统的不稳定并显示一道消息以及在一分钟之内重启:
“ | Windows must now restart because the Remote Procedure Call
(RPC)Service terminated unexpectedly. |
” |
解法
[编辑]Windows的错误消息以及重开机状况可借由更改重开机服务的设置而避免,使得用户有足够时间移除Blaster病毒以及安装漏洞的修补程序。此步骤如下:
- 进入:开始->运行
- 键入"services.msc"并按下Enter
- 找出"Remote Procedure Call"服务(非RPC定位器),按下右键并选择属性(Properties)
- 选择恢复标签页,并设置失败行动选项为“不做动作”
- 选择确定
由于RPC是Windows的内嵌部件,因此失败动作在移除Blaster后理应尽快设置回重开机。
另外一个阻止电脑重启的方法为:
- 进入:开始->执行
- 键入"shutdown -a"并按下Enter
如果你以管理者登录系统,这方法可以顺利停止重开机(-a代表Abort)。
以上动作必须在重开机消息出现后,在时限内完成。而shutdown.exe文件并不能在Windows 2000直接找到,必须从Windows 2000资源包中提取出。
另外,执行开放软件基金会的分布式运算环境有可能被此蠕虫造成的流量所影响。此蠕虫产生的网络数据包对DCE造成DDoS,也会造成DCE的崩溃。
对微软Windows用户的最佳方法是时时登录Microsoft Update,将系统保持在最新状态,以及更新杀毒软件。Windows Update尤其重要,因为恶意软件(例如Blaster)常常利用最近找到的漏洞来破坏,因为这类的新漏洞许多用户还来不及更新修正程序。
趣闻
[编辑]在仔细检查Blaster的代码后,研究者发现源代码中内嵌了Parson的名字,而警方也因此逮捕了他。[来源请求]