冲击波震荡波分析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
主讲人:刘洁琼
成员: 徐奇鹏、吕春雪、南宫丹丹、薛鸿佳、王志强、张宇翔
目录
1 2 3 4
冲击波简介 冲击波工作原理 震荡波简介
震荡波工作原理
冲击波简介
概念:
冲击波(Worm.Blaster)病毒是利用微软公司在7月21 日公布的RPC漏洞进行传播的,只要是计算机上有 RPC服务并且没有打安全补丁的计算机都存在有RPC 漏洞,具体涉及的操作系统是:Windows2000、XP、
系统时,病毒都会运行。
3、 病毒体内隐藏有一段文本信息: I just want to say LOVE YOU SAN!!
bill gates why do you make this possible Stop making money and fix
your software!!
详细介绍
4、病毒会以20秒为间隔,每20秒检测一次网络状态,当网络可用时,病毒会在本地的 UDP/69端口上建立一个tftp服务器,并启动一个攻击传播线程,不断地随机生成攻击地 址,进行攻击,另外该病毒攻击时,会首先搜索子网的IP地址,以便就近攻击。
详细介绍
祥 细 介 绍
1、病毒运行时会在内存中建立一个名为:“msblast.exe”的进程,该进 程就是活的病毒体。
2、 病毒会修改注册表,在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run中添加以下键值:"windows auto update"="msblast.exe",以便每次启动
Server 2003。
病毒档案
病毒档案 警惕程度:★★★★ 发作时间:随机 病毒类型:蠕虫病毒 传播途径:网络/RPC漏洞 依赖系统:Microsoft Windows NT 4.0 / Microsoft Windows 2000/ Microsoft Windows XP/Microsoft Windows Server 2003
发作现象
冲击波工作原理
Let me tell you
该病毒运行时会将自身复制到windows目录下,命名为:msblast.exe进程,该进程是 活的病毒体。病毒运行时会在系统中建立一个名为:“BILLY”的互斥量,在内存中保存 一份病毒体。 该病毒会在注册表的 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) 中添加值:"windows auto update"="msblast.exe",每次启动系统时,病毒便会自动运 行。 该病毒以20秒检测一次网络状态,网络可用时,病毒会在本地的UDP/69端口上建立tftp 服务器,启动攻击传播线程,随机生成攻击地址。病毒扫描到计算机后,会向目标计算 机的TCP/135端口发送攻击数据。 攻击成功后,目标计算机的TCP/4444端口作为监听后门,绑定cmd.exe。蠕虫会连接 到这个端口,发送tftp命令,回连到目标主机,将msblast.exe传到目标计算机上并自动 运行。该病毒攻击失败时,会造成没有打补丁的Windows系统RPC服务崩溃, Windows XP系统会自动重启计算机。 感染该蠕虫病毒后会出现以下现象,Word、Excel、Powerpoint等文件无法正常运行, 弹出找不到链接文件的对话框,一些功能如“粘帖”等无法正常使用,控制面板出现异 常、系统文件无法正常显示、Windows界面下的功能无法正常使用、计算机反复重新启 动等现象。
5、 当病毒扫描到计算机后,就会向目标计算机的TCP/135端口发送攻击数据。
6、 当病毒攻击成功后,便会监听目标计算机的TCP/4444端口作为后门,并绑定 cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将 msblast.exe传到目标计算机上并运行。 7、当病毒攻击失败时,可能会造成没有打补丁的Windows系统RPC服务崩溃, Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003, 但是可以造成Windows Server2003系统的RPC服务崩溃,默认情况下是系统反复重启。
冲击波简介
病毒介绍
该病毒于2002年8月12日被瑞星全球反病毒监测网率先 截获。病毒运行时会不停地利用IP扫描技术寻找网络上 系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将 会被传送到对方计算机中进行感染,使系统操作异常、 不停重启、甚至导致系统崩溃。另外,该病毒还会对微 软的一个升级网站进行拒绝服务攻击,导致该网站堵塞, 使用户无法通过该网站升级系统。在2002年8月16日以 后,该病毒还会使被攻击的系统丧失更新该漏洞补丁的 能力。 冲击波(Worm.Blaster)病毒是利用微软公司在7月21日 公布的RPC漏洞进行传播的,只要是计算机上有 RPC服务并且没有打安全补丁的计算机都存在有RPC漏 洞,具体涉及的操作系统是:Windows2000、XP、 Server 2003。 该病毒感染系统后,会使计算机产生下列现象:系统资源 被大量占用,有时会弹出RPC服务终止的对话框,并且系 统反复重启,不能收发邮件、不能正常复制文件、无法正 常浏览网页,复制粘贴等操作受到严重破坏,且不能复制 粘贴。
冲击波~症状
注意、注意
•1、莫名其妙地死机或重新启动计算机或显示60秒倒计时关机;
•2、IE浏览器不能正常地打开链接;
ห้องสมุดไป่ตู้
•3、不能复制粘贴;
•4、有时出现应用程序异常,比如Word异常;
•5、网络变慢;最重要的是,在任务管理器里有一个叫“msblast.exe”的进程在运 行!
冲击波~应对措施
1. 病毒通过微软的最新RPC漏洞进 行传播,因此用户应先给系统打上 RPC补丁,补丁地址: http://www.pc558.net/down/html/96. html 2. 病毒运行时会建立一个名为: “BILLY”的互斥量,使病毒自身不重 复进入内存,并且病毒在内存中建立 一个名为:“msblast”的进程,用户 可以用任务管理器将该病毒进程终止。 注意:%Windir%是一个变量, 它指的是操作系统安装目录,默认是: “C:/Windows”或:“c:/Winnt”,也可 以是用户在安装操作系统时指定的其 它目录. 4. 病毒会修改注册表的 HKEY_LOCAL_MACHINE/SOFTW ARE/Microsoft/Windows/CurrentVer sion/Run项,在其中加入:"windows auto update"="msblast.exe",进行 自启动,用户可以手工清除该键值。 5. 病毒会用到135、4444、69等 端口,用户可以使用防火墙软件将这 些端口禁止或者使用“TCP/IP筛选” 功能,禁止这些端口。
成员: 徐奇鹏、吕春雪、南宫丹丹、薛鸿佳、王志强、张宇翔
目录
1 2 3 4
冲击波简介 冲击波工作原理 震荡波简介
震荡波工作原理
冲击波简介
概念:
冲击波(Worm.Blaster)病毒是利用微软公司在7月21 日公布的RPC漏洞进行传播的,只要是计算机上有 RPC服务并且没有打安全补丁的计算机都存在有RPC 漏洞,具体涉及的操作系统是:Windows2000、XP、
系统时,病毒都会运行。
3、 病毒体内隐藏有一段文本信息: I just want to say LOVE YOU SAN!!
bill gates why do you make this possible Stop making money and fix
your software!!
详细介绍
4、病毒会以20秒为间隔,每20秒检测一次网络状态,当网络可用时,病毒会在本地的 UDP/69端口上建立一个tftp服务器,并启动一个攻击传播线程,不断地随机生成攻击地 址,进行攻击,另外该病毒攻击时,会首先搜索子网的IP地址,以便就近攻击。
详细介绍
祥 细 介 绍
1、病毒运行时会在内存中建立一个名为:“msblast.exe”的进程,该进 程就是活的病毒体。
2、 病毒会修改注册表,在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run中添加以下键值:"windows auto update"="msblast.exe",以便每次启动
Server 2003。
病毒档案
病毒档案 警惕程度:★★★★ 发作时间:随机 病毒类型:蠕虫病毒 传播途径:网络/RPC漏洞 依赖系统:Microsoft Windows NT 4.0 / Microsoft Windows 2000/ Microsoft Windows XP/Microsoft Windows Server 2003
发作现象
冲击波工作原理
Let me tell you
该病毒运行时会将自身复制到windows目录下,命名为:msblast.exe进程,该进程是 活的病毒体。病毒运行时会在系统中建立一个名为:“BILLY”的互斥量,在内存中保存 一份病毒体。 该病毒会在注册表的 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) 中添加值:"windows auto update"="msblast.exe",每次启动系统时,病毒便会自动运 行。 该病毒以20秒检测一次网络状态,网络可用时,病毒会在本地的UDP/69端口上建立tftp 服务器,启动攻击传播线程,随机生成攻击地址。病毒扫描到计算机后,会向目标计算 机的TCP/135端口发送攻击数据。 攻击成功后,目标计算机的TCP/4444端口作为监听后门,绑定cmd.exe。蠕虫会连接 到这个端口,发送tftp命令,回连到目标主机,将msblast.exe传到目标计算机上并自动 运行。该病毒攻击失败时,会造成没有打补丁的Windows系统RPC服务崩溃, Windows XP系统会自动重启计算机。 感染该蠕虫病毒后会出现以下现象,Word、Excel、Powerpoint等文件无法正常运行, 弹出找不到链接文件的对话框,一些功能如“粘帖”等无法正常使用,控制面板出现异 常、系统文件无法正常显示、Windows界面下的功能无法正常使用、计算机反复重新启 动等现象。
5、 当病毒扫描到计算机后,就会向目标计算机的TCP/135端口发送攻击数据。
6、 当病毒攻击成功后,便会监听目标计算机的TCP/4444端口作为后门,并绑定 cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将 msblast.exe传到目标计算机上并运行。 7、当病毒攻击失败时,可能会造成没有打补丁的Windows系统RPC服务崩溃, Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003, 但是可以造成Windows Server2003系统的RPC服务崩溃,默认情况下是系统反复重启。
冲击波简介
病毒介绍
该病毒于2002年8月12日被瑞星全球反病毒监测网率先 截获。病毒运行时会不停地利用IP扫描技术寻找网络上 系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将 会被传送到对方计算机中进行感染,使系统操作异常、 不停重启、甚至导致系统崩溃。另外,该病毒还会对微 软的一个升级网站进行拒绝服务攻击,导致该网站堵塞, 使用户无法通过该网站升级系统。在2002年8月16日以 后,该病毒还会使被攻击的系统丧失更新该漏洞补丁的 能力。 冲击波(Worm.Blaster)病毒是利用微软公司在7月21日 公布的RPC漏洞进行传播的,只要是计算机上有 RPC服务并且没有打安全补丁的计算机都存在有RPC漏 洞,具体涉及的操作系统是:Windows2000、XP、 Server 2003。 该病毒感染系统后,会使计算机产生下列现象:系统资源 被大量占用,有时会弹出RPC服务终止的对话框,并且系 统反复重启,不能收发邮件、不能正常复制文件、无法正 常浏览网页,复制粘贴等操作受到严重破坏,且不能复制 粘贴。
冲击波~症状
注意、注意
•1、莫名其妙地死机或重新启动计算机或显示60秒倒计时关机;
•2、IE浏览器不能正常地打开链接;
ห้องสมุดไป่ตู้
•3、不能复制粘贴;
•4、有时出现应用程序异常,比如Word异常;
•5、网络变慢;最重要的是,在任务管理器里有一个叫“msblast.exe”的进程在运 行!
冲击波~应对措施
1. 病毒通过微软的最新RPC漏洞进 行传播,因此用户应先给系统打上 RPC补丁,补丁地址: http://www.pc558.net/down/html/96. html 2. 病毒运行时会建立一个名为: “BILLY”的互斥量,使病毒自身不重 复进入内存,并且病毒在内存中建立 一个名为:“msblast”的进程,用户 可以用任务管理器将该病毒进程终止。 注意:%Windir%是一个变量, 它指的是操作系统安装目录,默认是: “C:/Windows”或:“c:/Winnt”,也可 以是用户在安装操作系统时指定的其 它目录. 4. 病毒会修改注册表的 HKEY_LOCAL_MACHINE/SOFTW ARE/Microsoft/Windows/CurrentVer sion/Run项,在其中加入:"windows auto update"="msblast.exe",进行 自启动,用户可以手工清除该键值。 5. 病毒会用到135、4444、69等 端口,用户可以使用防火墙软件将这 些端口禁止或者使用“TCP/IP筛选” 功能,禁止这些端口。