冲击波病毒是什么

冲击波病毒会不断利用IP扫描技术，在网络上找到带有Win2000或XP系统的计算机，然后利用DCOM/RPC缓冲漏洞攻击系统。一旦攻击成功，病毒体就会传播到另一台计算机上进行感染，使系统运行异常，不断重启，甚至导致系统崩溃。

冲击波病毒是利用2003年7月21日公布的RPC漏洞传播的，病毒爆发于当年8月。病毒在运行时，会不断使用IP扫描技术，在网络上找到带有Win2000或XP系统的计算机，然后用DCOM/RPC缓冲区漏洞攻击系统。一旦攻击成功，病毒体就会传播到另一台计算机上进行感染，使系统运行异常，不断重启，甚至导致系统崩溃。此外，病毒还会将系统升级网站作为拒绝服务攻击，导致网站被屏蔽，阻止用户通过网站升级系统。任何有RPC服务但没有安全补丁的计算机都存在RPC漏洞。涉及的具体操作系统是:windows 2000 \ XP \ server 2003 \ nt 4.0..

病毒机制

攻击原理

2003年7月16日，发布了“RPC接口缓冲区溢出”漏洞补丁。该漏洞存在于RPC处理通过TCP/IP进行消息交换的部分。攻击者通过TCP135端口向远程计算机发送特殊请求，使攻击者获得目标机器的完全权限并执行任意代码。

病毒充分利用RPC/DCOM漏洞，首先使被攻击的计算机远程执行病毒代码；其次，RPCSS服务停止响应，中华人民共和国意外被暂停，导致中华人民共和国暂停引起一系列连锁反应。针对RPC/DCOM漏洞编写的病毒代码是整个病毒代码中最重要的部分。

病毒特征

通过分析冲击波病毒的整个工作流程，我们可以得到病毒的行为特征:

1.主动攻击:蠕虫本质上已经演变成了一种自动化的黑客工具。蠕虫发布后，从搜索漏洞，用搜索结果攻击系统，到复制的整个过程都是由蠕虫自己完成的。

2.利用系统和网络应用服务漏洞:计算机系统漏洞的存在是蠕虫传播的前提。利用这些漏洞，蠕虫可以获得被攻击计算机系统的相应权限，完成后续的复制和传播过程。正是由于漏洞产生原因的复杂性，无法阻止针对蠕虫的攻击。

3.造成网络拥塞:蠕虫传播的第一步是在网络上寻找其他有漏洞的计算机系统，这需要通过大规模的搜索来完成。搜索动作包括:判断是否存在其他计算机；判断特定应用服务是否存在；确定漏洞是否存在。这将不可避免地导致额外的网络数据流量。即使不包含破坏系统正常运行的恶意代码的蠕虫也会产生巨大的网络流量，导致整个网络瘫痪，造成经济损失。

4.可重复性:即使清除了文件系统中蠕虫留下的任何痕迹，如果不修复计算机系统漏洞，重新访问网络的计算机仍然会被重新感染。

5.破坏性:从蠕虫的历史发展来看，越来越多的蠕虫开始包含恶意代码，破坏被攻击的计算机系统，造成越来越多的经济损失。

传播模式

冲击波的传播方式是扫描-攻击-复制。

扫描模块采用的扫描策略是随机选择某个IP地址，然后扫描该地址段上的主机。病毒编写者会改进扫描策略。比如在IP地址段的选择上，他们可以主要扫描当前主机所在的网段，随机选择几个小的IP地址段扫描外部网段。将扫描次数限制为几次。将扫描分散在不同的时间段。

扫描策略的设计有三个原则:最小化重复扫描，最小化扫描发送的数据包总数；确保扫描覆盖尽可能大的范围；处理好扫描的时间分布，让扫描不在某个时间发生。

一旦确认存在漏洞，就可以进行相应的攻击步骤。这部分的关键问题是对漏洞的理解和利用。攻击成功后，就是获取远程主机的一个shell，比如win2k系统，就是一个cmd.exe，获取这个shell后，就控制了整个系统。

复制的方式有很多种，可以通过系统本身的程序实现，也可以通过病毒生成的程序实现。其实复制过程就是一个文件传输的过程，实现网络文件传输非常简单。

中毒症状

由于RPC/DCOM漏洞，RPCSS服务停止响应，操作系统不断报告“PRC意外停止，系统重启”，客户端频繁重启，所有网络服务失败，如IE浏览器无法打开，OUTLOOK无法使用等。

RPC服务的终止也可能导致其他一些问题(因为很多功能都依赖于RPC服务)，比如:无法复制粘贴、无法查看网络属性、部分文件夹显示异常、计算机“服务”管理异常、无法使用IE“在新窗口打开”、无法添加和删除程序等。

病毒变体

2003年8月29日晚9时，全球反病毒监测网率先拦截了冲击波病毒的最新变种，命名为V(Worm。Blaster.E据反病毒工程师分析，这种病毒变体和前三种变体一样，对原病毒没有重大改动，感染和破坏能力与“冲击波”的其他变体相同。这种变体病毒只是再次更改病毒文件名和注册表键值，以避免被反病毒软件杀死。据分析，新的变异病毒已经做出了以下四项改变:

把病毒中的字符串改成:我把这部分毒株献给meang3l & # 8211希望你过得愉快，不要忘记对我的承诺

在ochWorm病毒中。布拉斯特，是:我只想说爱你三！！比利·盖茨你为什么要让这成为可能？别赚钱了，去修你的软件！！

将原来的互拆量ochBILLY改为och child；；

把对ochwindowsupdate.com的拒绝服务攻击改成对ochkimble.org的拒绝服务攻击；

将注册表中添加的键值改为HKEY _本地_机器\软件\微软\ windows \当前版本\运行窗口自动更新= msblast.exe原文:HKEY _本地_机器\软件\微软\ Windows \当前版本\运行窗口自动更新日期=msblast.exe

杀毒工程师判断，这种改变的目的还是为了避免对杀毒软件的追求。病毒的作者在努力延长病毒的生命力，为自己争取时间推出新版本的病毒。冲击波病毒产生的病毒体有五种，分别是Worm。布拉斯特，沃姆。爆能枪。乙，虫子。布拉斯特. C，沃姆。爆破工D和虫子。爆破工..

病毒反应

病毒检测

病毒感染系统后，会造成计算机出现以下现象:系统资源被大量占用，有时会弹出终止RPC服务的对话框，系统反复重启，无法正常收发邮件、复制文件、浏览网页，复制粘贴等操作受到严重影响，DNS、IIS服务被非法拒绝。如果以上现象全部或部分是在你自己的电脑里发现的，很有可能是你感染了冲击波病毒。此时，计算机用户应采取以下措施进行检测:

1)检查系统的system32\Wins目录中是否有DLLHOST.EXE文件(20K大小)和SVCHOST.EXE文件。(注意:在系统目录中也有一个DLLHOST.EXE文件，但是这个文件是正常的，大小只有8KB左右。)如果这两个文件存在，说明电脑已经感染了“冲击波杀手”病毒。

2)检查任务管理器中是否有三个或更多DLLHOST.EXE进程。如果有这些进程，计算机已经感染了这种病毒。