冲击波病毒网络安全PPT

病毒运行时......
不停地利用IP扫描技术寻找网络上系 统为XP的计算机,找到后就利用DCOM RPC缓 冲区漏洞攻击该系统，一旦攻击成功，病 毒体将会被传送到对方计算机中进行感染， 使系统操作异常、不停重启、甚至导致系 统崩溃。另外，该病毒还会对微软的一个 升级网站进行拒绝服务攻击，导致该网站 堵塞，使用户无法通过该网站升级系统。
2018/11/15
9
病毒如何进行......
会以20秒为间隔，每20秒检测一次网络状态，当网络可用时， 病毒会在本地建立一个服务器并启动一个攻击传播线程，不断地 随机生成攻击地址，进行攻击。另外该病毒攻击时，会首先搜索 子网的IP地址，以便就近攻击。当病毒扫描到计算机后，就会向 目标计算机端口发送攻击数据。成功后，便会监听目标计算机的 端口，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送命令， 回连到发起进攻的主机，将msblast.exe传到目标计算机上并运行。
DCOM
分布式组件对象模型
微软软件的一系列程序接口，利用 这个接口，客户端程序对象能够请求来 自网络中另一台计算机上的服务器程序 对象。分布式组件对象模型基于组件对 象模型（COM），COM提供了一套允许同 一台计算机上的客户端和服务器之间进 行通信的接口。
病毒运行时......
不停地利用IP扫描技术寻找网络上系 统为XP的计算机,找到后就利用DCOM RPC缓 冲区漏洞攻击该系统，一旦攻击成功，病 毒体将会被传送到对方计算机中进行感染， 使系统操作异常、不停重启、甚至导致系 统崩溃。另外，该病毒还会对微软的一个 升级网站进行拒绝服务攻击，导致该网站 堵塞，使用户无法通过该网站升级系统。
2018/11/15
12
使用杀毒软件清除
推荐使用：瑞星杀毒
2018/11/15
13
病毒发作
系统资源被大量占用，并且系统反复重 启，不能收发邮件、不能正常复制文件、无 法正常浏览网页，复制粘贴等操作受到严重 破坏，且不能复制粘贴，有时会弹出RPC服 务终止的对话框。
2018/Biblioteka Baidu1/15
8
病毒如何进行......
1.将自身复制到window目录下，并命名为.msblast.exe。 ⒉ 病毒运行时会在系统中建立一个名为：“BILLY”的互 斥量，目的是病毒只保证在内存中有一份病毒体，为了避 免用户发现。 ⒊ 病毒运行时会在内存中建立一个名为： “msblast.exe”的进程，该进程就是活的病毒体。 ⒋ 病毒会修改注册表，以便每次启动系统时，病毒 都会运行。
病毒档案
警惕程度：★★★★ 病毒类型：蠕虫病毒 发作时间：随机 传播途径：网络/RPC漏洞 依赖系统： Windows 2000 Windows XP Windows Server 2003
RPC
RPC（Remote Procedure Call Protocol） 远程过程调用协议 它是一种通过网络从远程计算机程序上 请求服务。
病毒档案
警惕程度：★★★★ 发作时间：随机 病毒类型：蠕虫病毒 传播途径：网络/RPC漏洞 依赖系统： Windows 2000 Windows XP Windows Server 2003
病毒原理
利用微软公司公布的RPC漏洞进行 传播的，只要是计算机上有RPC服 务并且没有打安全补丁的计算机 都存在有RPC漏洞。
若失败——会造成没有打补丁的Windows系统RPC服务崩溃。
造成Windows Server2003系统的RPC服务崩溃， 默认情况下是系统反复重启。
2018/11/15
10
有意思的是......
病毒体内隐藏有一段文本信息： I just want to say LOVE YOU SAN!! Bill Gates why do you make this possible Stop making money and fix your software!! SAN:存储区域网络，是一种高
速网络或子网络，提供在计算 机与存储系统之间的数据传输
2018/11/15
11
手工清除方案
DOS环境下清除该病毒：
⒈用DOS系统启动盘启动进入DOS环境下， 进入C盘的操作系统目录. 操作命令集： C: CD C:\windows （或CD c:\winnt) ⒉ 查找目录中的“msblast.exe”病毒文件。 命令操作集： dir msblast.exe /s/p ⒊找到后进入病毒所在的子目录，然后直接将该病毒文件删除。