发布日期:2024-02-29 05:36:02

病毒中的“钉子户”——冲击波丨专栏

今天给各位分享病毒中的“钉子户”——冲击波丨专栏的知识,其中也会对病毒中的“钉子户”——冲击波丨专栏进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!

本文导读目录:

1、电脑上网前必须要安装的四个补丁

2、病毒中的“钉子户”——冲击波丨专栏

3、冲击波补丁

  打全所有补丁,尤其是IE的补丁和Windows的补丁; 尽量不要点击未知网站和小型个人网站; 不要安装来历不明的插件和文件; 不要打开不知道来路的邮件,尤其是邮件附件; 上网最好安装杀毒软件和防火墙; 密码长度要在6位以上,最好同时有字母、数字和特殊字符; 等等……

但是在这些以前,我们总要先上网吧?如何能保证我们电脑的基本安全呢?西部e网为大家列出了几个电脑上网之前必须要安装的几个补丁,分别是:冲击波补丁、震荡波补丁、IE的iframe补丁和IE SP1补丁。至少上网前先打好冲击波补丁和震荡波补丁,然后先不要上那些小网站(一般大型网站是没什么问题的),运行Windows Update或者上大型下载网站把各种补丁打完全,让自己的电脑在网络中的损失降到最低。

1、冲击波补丁(微软RPC补丁MS03-026下载)

中毒症状:

·莫名其妙地死机或提示倒计时重新启动计算机;

·IE浏览器不能正常地打开链接;

·不能复制粘贴;

·等……

冲击波补丁下载,即微软RPC补丁MS03-026下载地址

·Windows NT 4.0 Server

简体:http://download.microsoft.com/download/1/a/f/1af70395-d328-4135-86aa-cae9bb4bdec6/CHSQ823980i.EXE

英文:http://download.microsoft.com/download/6/5/1/651c3333-4892-431f-ae93-bf8718d29e1a/Q823980i.EXE

繁体:http://download.microsoft.com/download/0/f/0/0f01962c-99a8-43d4-b0f9-5eca609a7ef1/CHTQ823980i.EXE

·Windows NT 4.0 Terminal Server Edition

英文:http://download.microsoft.com/download/4/6/c/46c9c414-19ea-4268-a430-53722188d489/Q823980i.EXE

·Windows 2000

简体:http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe

英文:http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe

繁体:http://download.microsoft.com/download/5/8/f/58fa7161-8db3-4af4-b576-0a56b0a9d8e6/Windows2000-KB823980-x86-CHT.exe

说明:Windows 2000操作系统必须升级SP2以上版本才可安装RPC漏洞补丁(MS03-026)。

Windows 2000 SP3

简体:http://download.microsoft.com/download/win2000platform/SP/SP3Express/NT5/CN/SP3Express.EXE

繁体:http://download.microsoft.com/download/win2000platform/SP/SP3Express/NT5/TW/sp3express.exe

英文:http://download.microsoft.com/download/win2000platform/SP/SP3Express/NT5/EN-US/sp3express.exe

Windows 2000 SP4

简体:http://download.microsoft.com/download/4/1/4/4140e2e0-0ad9-4438-ac52-da0e0429c0e6/w2ksp4_cn.exe

繁体:http://download.microsoft.com/download/0/c/9/0c9ff7be-5ac4-4b44-badf-783dfc53b307/W2KSP4_tw.EXE

英文:http://download.microsoft.com/download/E/6/A/E6A04295-D2A8-40D0-A0C5-241BFECD095E/W2KSP4_EN.EXE

香港:http://download.microsoft.com/download/c/c/a/ccafe1fa-c4a2-4851-a2a9-eb973e2c3acb/W2KSP4_hk.EXE

·Windows XP 32 位版本

简体:http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe

英文:http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe

繁体:http://download.microsoft.com/download/2/3/6/236eaaa3-380b-4507-9ac2-6cec324b3ce8/WindowsXP-KB823980-x86-CHT.exe

·Windows Server2003 32位

简体:http://download.microsoft.com/download/0/7/9/07971669-76fc-4e69-bc4e-88837d8005d1/WindowsServer2003-KB823980-x86-CHS.exe

英文:http://download.microsoft.com/download/8/f/2/8f21131d-9df3-4530-802a-2780629390b9/WindowsServer2003-KB823980-x86-ENU.exe

繁体:http://download.microsoft.com/download/0/7/5/0758a3ff-ed88-4928-b960-0d08ffc11034/WindowsServer2003-KB823980-x86-CHT.exe

2、震荡波补丁

中毒症状:

·用户的电脑会出现 LSA Shell 服务异常框,接着出现一分钟后重启计算机的“系统关机”框;

·内存中出现名为 avserve 的进程;

·系统目录中出现名为 avserve.exe 的病毒文件

·等……

微软震荡波补丁:http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx

微软震荡波补丁直接下载:

Windows 2000

http://download.microsoft.com/download/1/0/4/104ab4fe-660d-4d6d-b50a-ea4491dd7fb2/Windows2000-KB835732-x86-CHS.EXE

下载英文版及其它语言版本:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=0692C27E-F63A-414C-B3EB-D2342FBB6C00

Windows XP

http://download.microsoft.com/download/f/a/4/fa45d805-82aa-4731-8619-40319436a26d/WindowsXP-KB835732-x86-CHS.EXE

英文版及其它语言版本:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3

3、IE的ifrmae漏洞补丁和HTA漏洞补丁

主要目的:一些有病毒的网页利用iframe漏洞和HTA漏洞,让用户自动下载一些木马,例如:盗取传奇密码、QQ尾巴、MSN尾巴、盗取QQ密码等病毒。

ifrmae漏洞补丁下载地址:

http://www.microsoft.com/windows/ie/downloads/critical/q319182/download.asp

选择语言:Select Language:Chinese (Simplified)

ifrmae漏洞补丁直接下载:

Internet Explorer 6.0(2.41 MB)

http://download.microsoft.com/download/IE60/secpac26/6/W98NT42KMeXP/CN/q319182.exe

Internet Explorer 5.5 SP2(2.12 MB)

http://download.microsoft.com/download/ie55sp2/secpac26/5.5_sp2/WIN98Me/CN/q319182.exe

Internet Explorer 5.5 SP1(2.47 MB)

http://download.microsoft.com/download/ie55sp1/secpac26/5.5_sp1/WIN98Me/CN/q319182.exe

Internet Explorer 5.01 SP2 for Windows NT and Windows 2000(1.88 MB)

http://download.microsoft.com/download/ie501sp2/secpac26/5.01_sp2/W982KNT4/CN/q319182.exe

IE的HTA漏洞补丁下载地址:http://www.microsoft.com/china/technet/security/bulletin/ms03-032.asp

4、IE6 SP1补丁

IE6 SP1补丁直接下载:

http://download.microsoft.com/download/ie6sp1/finrel/6_sp1/W98NT42KMeXP/CN/ie6setup.exe  一、谶曰——打不死的小强

“冲击波”计算机病毒(图片来自网络)

大东:小白,经过前段时间的学习相信你对计算机网络安全也有了一定的了解。

小白:那可不,别的不敢说,就说计算机安全防范这一点我就能例举出好几种方法。

大东:哈哈,看来小白已经不再是那个“小白”了,那我可要考考你了。如果说计算机系统异常、不断重启一般是什么情况呢?

小白:哎呀,怕是中了病毒了,赶紧杀毒、更新漏洞补丁。

大东:系统漏洞更新补丁是对的,但如果无法更新该漏洞补丁呢?

小白:啊?无法更新补丁?这可是我知识的盲区啊,还有这种病毒?

大东:那当然啦。

小白:还得麻烦东哥给我讲讲这个病毒中的“钉子户”,看来“一日充电终身放电”在计算机网络安全方面是不可靠的,学海无涯啊。

二、“冲击波”病毒

大东:2003年7月21日,微软RPC漏洞被公布,同年8月一款针对此漏洞的病毒爆发。这即是著名的2003年“冲击波”病毒事件(Worm.MsBlast)。

小白:原来是臭名昭著的“冲击波”病毒啊。

大东:看来小白也是知道的。

小白:那是啊!这种病毒是一种蠕虫病毒,它的变种至今仍有存活,不少人都曾中招,电脑会不停重启。

大东:对的,中了这个病毒系统操作异常、不停的重启,严重的话会导致系统崩溃。此外该病毒有很强的自我防卫能力,也就是刚才说的无法更新补丁,是2003年名副其实的“毒王”。

冲击波病毒(图片来自网络)

大东:冲击波病毒的性质是后门和蠕虫病毒的混合病毒。该病毒起初主要针对Win2000或是XP系统,利用IP扫描技术寻找此类计算机,然后利用DCOM/RPC缓冲区漏洞进行攻击。随着病毒体传送感染对方计算机,使对方出现刚才说到的系统异常、不断重启、无法复制粘贴、无法正常上网等问题。2003年8月11日我国金山反病毒中心首次在国内发现,几日之间感染了大量使用此漏洞系统的计算机,对全球造成数百亿美元的损失。

小白:可见对全球的影响是多么有冲击力啊,名副其实的冲击波啊。东哥,那“冲击波”是怎么实现无法更新补丁的?

大东:无法更新补丁,是因为其具备对对系统升级网站(windowsupdata.com)进行拒绝服务攻击(DdoS)的能力,导致网站堵塞,阻止用户下载相关程序。除了Win2000和XP系统,Server和NT4.0也成为“冲击波”主要设计的操作系统。

小白:东哥详细说下原理。

大东:该病毒充分利用了RPC/DCOM漏洞,首先使受攻击的计算机远程执行了病毒代码;其次使RPCSS服务停止响应,PRC意外中止,从而产生由于PRC中止导致的一系列连锁反应。针对RPC/DCOM漏洞所编写的病毒代码构成了整个病毒代码中产生破坏作用的最重要的部分。

小白:冲击波的运作过程是怎样的?有什么特点么?

大东:计算机系统被病毒感染后,病毒会自动建立一个名为“BILLY”的互斥线程,当病毒检测到系统中有该线程的话则将不会重复驻入内存,否则病毒会在内存中建立一个名为“msblast”的进程。

小白:听起来像是C语言程序呢。

大东:还真让你猜对了。病毒运行时会将自身复制为:%systemdir%\msblast.exe,%systemdir%指的是操作系统安装目录中的系统目录,默认为C:\Winnt\system32;紧接着病毒在注册表HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加名“windows auto update”的启动项目,值为“msblast.exe”,简言之,这么做使得每次启动计算机时自动加载病毒。

小白:那是怎么实现攻击的呢?

大东:具体的攻击过程是在感染病毒的计算机通过TCP135端口向那些被攻击计算机发送攻击代码,被攻击的计算机将在TCP4444端口开启一个CommandShell。同时监听UDP69端口,当接收到受攻击的机器发来的允许使用DCOM RPC运行远程指令的消息后,将发送Msblast.exe文件,并让受攻击的计算机执行它,受攻击的计算机也感染了此病毒。

小白:原来如此。

三、防范措施

小白:蠕虫病毒的特色可不容小觑啊,提起蠕虫头就疼。

大东:哈哈,何止是你啊,这个冲击波病毒给世界带来的冲击可是有目共睹啊。该病毒出现后带动出一大批利用此漏洞的其他病毒,形成了一个较大的病毒家族。其中紧跟其后于8月18日出现的“冲击波克星”(Worm.KillMsBlast)病毒也广为流传。

它一面试图清除“冲击波”(Worm.Msblast)病毒,在系统内种下简易预防代码,并尝试从微软网站下载补丁程序,为受感染的系统打上补丁。但该病毒紧接着就开启上百个线程疯狂探测IP地址,并通过RPC漏洞迅速传播自己,消耗大量CPU和网络资源,常常导致系统死机。

小白:前有狼,后有虎啊。

大东:要不然怎么说他难缠啊。时至今日,没有安装相应补丁程序的用户系统只要一联上网,很快就会受到这类病毒攻击。冲击波病毒的变种也依旧威胁着网络安全。

小白:得了,东哥告诉我怎么对付它吧。

冲击波补丁(图片来自网络)

大东:(1)“冲击波”病毒通过最新RPC漏洞进行传播,因此用户应先给系统打上RPC补丁。

(2)病毒运行时会建立一个名为:“BILLY”的互斥量,使病毒自身不重复进入内存,并且病毒在内存中建立一个名为:“msblast”的进程,用户可以用任务管理器将该病毒进程终止。

(3)用户可以手动删除该病毒文件。注意:%Windir%是一个变量,指的是操作系统安装目录,默认是:“C:\Windows”或:“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量,指的是操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。

(4)“冲击波”病毒会用到135、4444、69等端口,用户可以使用防火墙将这些端口禁止或者使用“TCP/IP筛选”功能,禁止这些端口。

(5)进入“管理工具”文件夹(在开始菜单或控制面板),运行组件服务,在左边侧栏点击“服务(本地)”,找到RemoteProcedureCall(RPC),其描述为“提供终结点映射程序(endpointmapper)以及其它RPC服务”。双击进入恢复标签页,把第一二三次操作都设为“不操作”。

小白:好棒,讲的超级详细。

来源:中国科学院计算技术研究所

温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」  冲击波XP补丁是微软推出的一款xp冲击波病毒查杀清除辅助软件。通过该软件,可以快速地对电脑进行检验,防止电脑遭受该病毒攻击,并修复该病毒可能利用的漏洞。有了该软件,让用户告别冲击波病毒带来的危害。

1、主动攻击

蠕虫在本质上已经演变为黑客入侵的自动化工具,当蠕虫被释放(release)后,从搜索漏洞,到利用搜索结果攻击系统,到复制副本,整个流程全由蠕虫自身主动完成。

2、利用系统、网络应用服务漏洞

计算机系统存在漏洞是蠕虫传播的前提,利用这些漏洞,蠕虫获得被攻击的计算机系统的相应权限,完成后继的复制和传播过程。正是由于漏洞产生原因的复杂性,导致面对蠕虫的攻击防不胜防。

3、造成网络拥塞

蠕虫进行传播的第一步就是找到网络上其它存在漏洞的计算机系统,这需要通过大面积的搜索来完成,搜索动作包括:判断其它计算机是否存在;判断特定应用服务是否存在;判断漏洞是否存在。这不可避免的会产生附加的网络数据流量。即使是不包含破坏系统正常工作的恶意代码的蠕虫,也会因为病毒产生了巨量的网络流量,导致整个网络瘫痪,造成经济损失。

4、反复性

即使清除了蠕虫在文件系统中留下的任何痕迹,如果没有修补计算机系统漏洞,重新接入到网络中的计算机还是会被重新感染。

5、破坏性

从蠕虫的历史发展过程可以看到,越来越多的蠕虫开始包含恶意代码,破坏被攻击的计算机系统,而且造成的经济损失数目越来越大。


病毒中的“钉子户”——冲击波丨专栏的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于病毒中的“钉子户”——冲击波丨专栏病毒中的“钉子户”——冲击波丨专栏的信息别忘了在本站进行查找喔。

  • 病毒中的“钉子户”——冲击波丨专栏已关闭评论
  • A+
所属分类:政务服务