冲击波蠕虫
 |
| 技术名称 | Blaster |
|---|---|
| 别名 | 冲击波蠕虫 |
| 家族 | M.Blaster家族 |
| 分类 | 电脑蠕虫 |
| 感染系统 | Windows |
| 发现时间 | 2003年8月11日 |
| 来源地 | 美国明尼苏达州 |
| 作者 | Jeffrey Lee Parson |
冲击波蠕虫(英语:Worm.Blaster或Lovesan,也有译为“疾风病毒”)是一种散播于Microsoft作业系统,Windows XP与Windows 2000的蠕虫病毒,爆发于2003年8月。
本蠕虫第一次被注意并如燎原火般散布,是在2003年的8月11日。它不断繁殖并感染,在8月13日达到高峰,之后借助ISP与网路上散布的治疗方法阻止了此蠕虫的散布。
在2003年8月29日,一个来自美国明尼苏达州的18岁年轻人杰弗里·李·帕森(Jeffrey Lee Parson)由于创造了Blaster.B变种而被逮捕;他在2005年被判处十八个月的有期徒刑。
影响方式
[编辑]此蠕虫试图在8月15日发动一波SYN资讯洪水,目标是windowsupdate.com (页面存档备份,存于互联网档案馆)的80埠,借此对此网站做出分散式阻断服务攻击(DDoS)。由于此蠕虫的目标是windowsupdate.com(微软的重定向网站)而非windowsupdate.microsoft.com(微软更新的本站),因此微软便暂时地关闭此网站以降低此蠕虫对网站造成的可能影响。
此蠕虫借由一个在DCOM远程过程调用(RPC)出现的缓冲区溢位漏洞而在受影响的作业系统上散布。此漏洞的修补档已在一个月之前就已公布在MS03-026以及MS03-039上。
本蠕虫将两段讯息隐藏在程式码中,第一个是:
| “ | I just want to say LOVE YOU SAN!! | ” |
也因为此句话,本蠕虫也称为Lovesan蠕虫。
第二个:
| “ | billy gates why do you make this possible ? Stop making money and fix your software!! |
” |
是一个给比尔·盖兹(微软的开创者,以及本蠕虫的攻击目标)的讯息:“为什么比尔·盖兹要让这(漏洞)可行?不要只顾著赚钱并赶快修补软体漏洞!!”。
感染征兆
[编辑]虽然此蠕虫只能在Windows 2000与XP上传播,但是它也可让执行RPC的作业系统如Windows NT、Windows XP (64 bit)与Windows Server 2003造成不稳。一旦此蠕虫在网路上侦测到连线(不论拨接或宽频),它将会造成此系统的不稳定并显示一道讯息以及在一分钟之内重新开机:
| “ | Windows must now restart because the Remote Procedure Call
(RPC)Service terminated unexpectedly. |
” |
解法
[编辑]Windows的错误讯息以及重开机状况可借由更改重开机服务的设定而避免,使得使用者有足够时间移除Blaster病毒以及安装漏洞的修补程序。此步骤如下:
- 进入:开始->运行
- 键入"services.msc"并按下Enter
- 找出"Remote Procedure Call"服务(非RPC定位器),按下右键并选择属性(Properties)
- 选择恢复分页,并设置失败行动选项为“不做动作”
- 选择确定
由于RPC是Windows的内嵌部件,因此失败动作在移除Blaster后理应尽快设定回重开机。
另外一个阻止电脑重新开机的方法为:
- 进入:开始->执行
- 键入"shutdown -a"并按下Enter
如果你以管理者登入系统,这方法可以顺利停止重开机(-a代表Abort)。
以上动作必须在重开机讯息出现后,在时限内完成。而shutdown.exe档案并不能在Windows 2000直接找到,必须从Windows 2000资源包中提取出。
另外,执行开放软件基金会的分散式运算环境有可能被此蠕虫造成的流量所影响。此蠕虫产生的网路封包对DCE造成DDoS,也会造成DCE的崩溃。
对微软Windows使用者的最佳方法是时时登入Microsoft Update,将系统保持在最新状态,以及更新防毒软体。Windows Update尤其重要,因为恶意软体(例如Blaster)常常利用最近找到的漏洞来破坏,因为这类的新漏洞许多使用者还来不及更新修正程式。
趣闻
[编辑]在仔细检查Blaster的程式码后,研究者发现原始码中内嵌了Parson的名字,而警方也因此逮捕了他。[来源请求]