1、摘 要隨著計(jì)算機(jī)技術(shù)的發(fā)展和互聯(lián)網(wǎng)的擴(kuò)大。計(jì)算機(jī)已成為人們生活和工作中所依賴的重要工具。但與此同時(shí)，計(jì)算機(jī)病毒對計(jì)算機(jī)及網(wǎng)絡(luò)的攻擊與日俱增。而且破壞性日益嚴(yán)重。計(jì)算機(jī)病毒就像人類的病毒一樣，目的是感染盡可能多的計(jì)算機(jī)。計(jì)算機(jī)一旦感染病毒，它就會(huì)發(fā)病。輕則沖擊內(nèi)存，影響運(yùn)行速度，重則破壞硬盤數(shù)據(jù)、摧毀系統(tǒng)甚至計(jì)算機(jī)硬件。本文全面分析“震蕩波”病毒給用戶帶來的不便以及此病毒的癥狀，并提供防范方法和清除手段。 關(guān)鍵詞：震蕩波；Lsass蠕蟲病毒；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊。目 錄摘 要 I目 錄 II第一章 緒論 11.1開發(fā)歷史 11.2病毒的簡介 21.2.1宏病毒 21.2.2 CIH病毒 31.2.

2、3蠕蟲病毒 31.2.4木馬病毒 3第二章 蠕蟲的基礎(chǔ)知識 32.1 基礎(chǔ)知識深悉 42.2蠕蟲的工作原理 5第三章 震蕩波的工作原理及用法 63.1震蕩波簡介 63.2震蕩波的原理 63.3震蕩波的傳播途徑及危害 83.3.1震蕩波的傳播途徑 83.3.2震蕩波的三大危害 83.4震蕩波與沖擊波的對比 93.4.1背景介紹 10 3.4.2兩大惡性病毒的四大區(qū)別 10第四章 震蕩波的防御 114.1快速識別震蕩波病毒 114.2清除震蕩波病毒 114.3震蕩波病毒的預(yù)防 12第五章 結(jié)束語 135.1 論文心得 135.2感謝 132第1章 緒論1.1開發(fā)歷史自從1987年發(fā)現(xiàn)了全世界首例計(jì)

3、算機(jī)病毒以來，病毒的數(shù)量早已超過1萬種以上，并且還在以每年兩千種新病毒的速度遞增，不斷困擾著涉及計(jì)算機(jī)領(lǐng)域的各個(gè)行業(yè)。計(jì)算機(jī)病毒的危害及造成的損失是眾所周知的，發(fā)明計(jì)算機(jī)病毒的人同樣也受到社會(huì)和公眾輿論的譴責(zé)。也許有人會(huì)問：“計(jì)算機(jī)病毒是哪位先生發(fā)明的?”這個(gè)問題至今無法說清楚，但是有一點(diǎn)可以肯定，即計(jì)算機(jī)病毒的發(fā)源地是科學(xué)最發(fā)達(dá)的美國。 雖然全世界的計(jì)算機(jī)專家們站在不同立場或不同角度分析了病毒的起因，但也沒有能夠?qū)Υ俗鞒鲎詈蟮亩ㄕ摚荒芡茰y電腦病毒緣于以下幾種原因：一、科幻小說的啟發(fā)；二、惡作劇的產(chǎn)物；三、電腦游戲的產(chǎn)物；四、軟件產(chǎn)權(quán)保護(hù)的結(jié)果。IT行業(yè)普遍認(rèn)為，從最原始的單機(jī)磁盤病毒到現(xiàn)在

4、逐步進(jìn)入人們視野的手機(jī)病毒，計(jì)算機(jī)病毒主要經(jīng)歷了五個(gè)重要的發(fā)展階段。·第一階段為原始病毒階段。產(chǎn)生年限一般認(rèn)為在1986-1989年之間，由于當(dāng)時(shí)計(jì)算機(jī)的應(yīng)用軟件少，而且大多是單機(jī)運(yùn)行，因此病毒沒有大量流行，種類也很有限，病毒的清除工作相對來說較容易。主要特點(diǎn)是：攻擊目標(biāo)較單一；主要通過截獲系統(tǒng)中斷向量的方式監(jiān)視系統(tǒng)的運(yùn)行狀態(tài)，并在一定的條件下對目標(biāo)進(jìn)行傳染；病毒程序不具有自我保護(hù)的措施，容易被人們分析和解剖。·第二階段為混合型病毒階段。其產(chǎn)生的年限在19891991年之間，是計(jì)算機(jī)病毒由簡單發(fā)展到復(fù)雜的階段。計(jì)算機(jī)局域網(wǎng)開始應(yīng)用與普及，給計(jì)算機(jī)病毒帶來了第一次流行高峰。這

5、一階段病毒的主要特點(diǎn)為：攻擊目標(biāo)趨于混合；采取更為隱蔽的方法駐留內(nèi)存和傳染目標(biāo)；病毒傳染目標(biāo)后沒有明顯的特征；病毒程序往往采取了自我保護(hù)措施；出現(xiàn)許多病毒的變種等。·第三階段為多態(tài)性病毒階段。此類病毒的主要特點(diǎn)是，在每次傳染目標(biāo)時(shí)，放入宿主程序中的病毒程序大部分都是可變的。因此防病毒軟件查殺非常困難。如1994年在國內(nèi)出現(xiàn)的“幽靈”病毒就屬于這種類型。這一階段病毒技術(shù)開始向多維化方向發(fā)展。·第四階段為網(wǎng)絡(luò)病毒階段。從上世紀(jì)90年代中后期開始，隨著國際互聯(lián)網(wǎng)的發(fā)展壯大，依賴互聯(lián)網(wǎng)絡(luò)傳播的郵件病毒和宏病毒等大量涌現(xiàn)，病毒傳播快、隱蔽性強(qiáng)、破壞性大。也就是從這一階段開始，反病毒產(chǎn)

6、業(yè)開始萌芽并逐步形成一個(gè)規(guī)模宏大的新興產(chǎn)業(yè)。·第五階段為主動(dòng)攻擊型病毒。典型代表為2003年出現(xiàn)的“沖擊波”病毒和2004年流行的“震蕩波”病毒。這些病毒利用操作系統(tǒng)的漏洞進(jìn)行進(jìn)攻型的擴(kuò)散，并不需要任何媒介或操作，用戶只要接入互聯(lián)網(wǎng)絡(luò)就有可能被感染。正因?yàn)槿绱耍摬《镜奈：π愿蟆?#183;第六階段為“手機(jī)病毒”階段。隨著移動(dòng)通訊網(wǎng)絡(luò)的發(fā)展以及移動(dòng)終端手機(jī)功能的不斷強(qiáng)大，計(jì)算機(jī)病毒開始從傳統(tǒng)的互聯(lián)網(wǎng)絡(luò)走進(jìn)移動(dòng)通訊網(wǎng)絡(luò)世界。與互聯(lián)網(wǎng)用戶相比，手機(jī)用戶覆蓋面更廣、數(shù)量更多，因而高性能的手機(jī)病毒一旦爆發(fā)，其危害和影響比“沖擊波”“震蕩波”等互聯(lián)網(wǎng)病毒還要大。1.2病毒的簡介從一九八三年計(jì)

7、算機(jī)病毒首次被確認(rèn)以來，并沒有引起人們的重視。直到一九八七年計(jì)算機(jī)病毒才開使受到世界范圍內(nèi)的普遍重視。我國于一九八九年在計(jì)算機(jī)界發(fā)現(xiàn)病毒。至今，全世界已發(fā)現(xiàn)近數(shù)萬種病毒，并且還在高速度的增加。由于計(jì)算機(jī)軟件的脆弱性與互聯(lián)網(wǎng)的開放性，我們將與病毒長久共存。而且，病毒主要朝著能更好的隱蔽自己并對抗反病毒手段的方向發(fā)展。同時(shí)，病毒已被人們利用其特有的性質(zhì)與其他功能相結(jié)合進(jìn)行有目的的活動(dòng)。 病毒的花樣不斷翻新，編程手段越來越高，防不勝防。特別是Internet的廣泛應(yīng)用，促進(jìn)了病毒的空前活躍，網(wǎng)絡(luò)蠕蟲病毒傳播更快更廣，Windows病毒更加復(fù)雜，帶有黑客性質(zhì)的病毒和特絡(luò)依木馬等有害代碼大量涌現(xiàn)。 1.

8、2.1宏病毒由于微軟的Office系列辦公軟件和Windows系統(tǒng)占了絕大多數(shù)的PC軟件市場，加上Windows和Office提供了宏病毒編制和運(yùn)行所必需的庫(以 VB庫為主)支持和傳播機(jī)會(huì)，所以宏病毒是最容易編制和流傳的病毒之一，很有代表性。宏病毒發(fā)作方式: 在Word打開病毒文檔時(shí)，宏會(huì)接管計(jì)算機(jī)，然后將自己感染到其他文檔，或直接刪除文件等等。Word將宏和其他樣式儲(chǔ)存在模板中，因此病毒總是把文檔轉(zhuǎn)換成模板再儲(chǔ)存它們的宏。這樣的結(jié)果是某些Word版本會(huì)強(qiáng)迫你將感染的文檔儲(chǔ)存在模板中。判斷是否被感染: 宏病毒一般在發(fā)作的時(shí)候沒有特別的跡象，通常是會(huì)偽裝成其他的對話框讓你確認(rèn)。在感染了宏病毒的

9、機(jī)器上，會(huì)出現(xiàn)不能打印文件、Office文檔無法保存或另存為等情況。宏病毒帶來的破壞:刪除硬盤上的文件;將私人文件復(fù)制到公開場合;從硬盤上發(fā)送文件到指定的E-mail、FTP地址。防范措施:平時(shí)最好不要幾個(gè)人共用一個(gè)Office程序，要加載實(shí)時(shí)的病毒防護(hù)功能。病毒的變種可以附帶在郵件的附件里，在用戶打開郵件或預(yù)覽郵件的時(shí)候執(zhí)行，應(yīng)該留意。一般的殺毒軟件都可以清除宏病毒。1.2.2 CIH病毒CIH是本世紀(jì)最著名和最有破壞力的病毒之一，它是第一個(gè)能破壞硬件的病毒。發(fā)作破壞方式:主要是通過篡改主板BIOS里的數(shù)據(jù)，造成電腦開機(jī)就黑屏，從而讓用戶無法進(jìn)行任何數(shù)據(jù)搶救和殺毒的操作。CIH的變種能在網(wǎng)絡(luò)

10、上通過捆綁其他程序或是郵件附件傳播，并且常常刪除硬盤上的文件及破壞硬盤的分區(qū)表。所以CIH 發(fā)作以后，即使換了主板或其他電腦引導(dǎo)系統(tǒng)，如果沒有正確的分區(qū)表備份，染毒的硬盤上特別是其C分區(qū)的數(shù)據(jù)挽回的機(jī)會(huì)很少。防范措施:已經(jīng)有很多CIH免疫程序誕生了，包括病毒制作者本人寫的免疫程序。一般運(yùn)行了免疫程序就可以不怕CIH了。如果已經(jīng)中毒，但尚未發(fā)作，記得先備份硬盤分區(qū)表和引導(dǎo)區(qū)數(shù)據(jù)再進(jìn)行查殺，以免殺毒失敗造成硬盤無法自舉。1.2.3蠕蟲病毒蠕蟲病毒以盡量多復(fù)制自身(像蟲子一樣大量繁殖)而得名，多感染電腦和占用系統(tǒng)、網(wǎng)絡(luò)資源，造成PC和服務(wù)器負(fù)荷過重而死機(jī)，并以使系統(tǒng)內(nèi)數(shù)據(jù)混亂為主要的破壞方式。它不一

11、定馬上刪除你的數(shù)據(jù)讓你發(fā)現(xiàn)，比如著名的愛蟲病毒和尼姆達(dá)病毒。1.2.4木馬病毒木馬病毒源自古希臘特洛伊戰(zhàn)爭中著名的“木馬計(jì)”而得名，顧名思義就是一種偽裝潛伏的網(wǎng)絡(luò)病毒，等待時(shí)機(jī)成熟就出來害人。傳染方式:通過電子郵件附件發(fā)出;捆綁在其他的程序中。病毒特性:會(huì)修改注冊表、駐留內(nèi)存、在系統(tǒng)中安裝后門程序、開機(jī)加載附帶的木馬。木馬病毒的破壞性:木馬病毒的發(fā)作要在用戶的機(jī)器里運(yùn)行客戶端程序，一旦發(fā)作，就可設(shè)置后門，定時(shí)地發(fā)送該用戶的隱私到木馬程序指定的地址，一般同時(shí)內(nèi)置可進(jìn)入該用戶電腦的端口，并可任意控制此計(jì)算機(jī)，進(jìn)行文件刪除、拷貝、改密碼等非法操作。 第2章 蠕蟲的基本知識蠕蟲病毒是一種常見的計(jì)算機(jī)病

12、毒。它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件。最初的蠕蟲病毒定義是因?yàn)樵贒OS環(huán)境下，病毒發(fā)作時(shí)會(huì)在屏幕上出現(xiàn)一條類似蟲子的東西，胡亂吞吃屏幕上的字母并將其改形。蠕蟲病毒是自包含的程序（或是一套程序），它能傳播自身功能的拷貝或自身（蠕蟲病毒）的某些部分到其他的計(jì)算機(jī)系統(tǒng)中（通常是經(jīng)過網(wǎng)絡(luò)連接）。 2.1 基礎(chǔ)知識深悉蠕蟲病毒是自包含的程序(或是一套程序),它能傳播它自身功能的拷貝或它的某些部分到其他的計(jì)算機(jī)系統(tǒng)中(通常是經(jīng)過網(wǎng)絡(luò)連接)。請注意，與一般病毒不同，蠕蟲不需要將其自身附著到宿主程序，有兩種類型的蠕蟲：主機(jī)蠕蟲與網(wǎng)絡(luò)蠕蟲。主計(jì)算機(jī)蠕蟲完全包含在它們運(yùn)行的計(jì)算機(jī)中，并且使

13、用網(wǎng)絡(luò)的連接僅將自身拷貝到其他的計(jì)算機(jī)中，主計(jì)算機(jī)蠕蟲在將其自身的拷貝加入到另外的主機(jī)后，就會(huì)終止它自身(因此在任意給定的時(shí)刻，只有一個(gè)蠕蟲的拷貝運(yùn)行)，這種蠕蟲有時(shí)也叫"野兔"，蠕蟲病毒一般是通過1434端口漏洞傳播。比如近幾年危害很大的“尼姆亞”病毒就是蠕蟲病毒的一種，2007年1月流行的“熊貓燒香”以及其變種也是蠕蟲病毒。這一病毒利用了微軟視窗操作系統(tǒng)的漏洞，計(jì)算機(jī)感染這一病毒后，會(huì)不斷自動(dòng)撥號上網(wǎng)，并利用文件中的地址信息或者網(wǎng)絡(luò)共享進(jìn)行傳播，最終破壞用戶的大部分重要數(shù)據(jù)。 蠕蟲病毒2.2 蠕蟲的工作原理蠕蟲侵入一臺計(jì)算機(jī)后，首先獲取其他計(jì)算機(jī)的IP地址，然后將自身副

14、本發(fā)送給這些計(jì)算機(jī).蠕蟲病毒也使用存儲(chǔ)在染毒計(jì)算機(jī)上的郵件客戶端地址簿里的地址來傳播程序。雖然有的蠕蟲程序也在被感染的計(jì)算機(jī)中生成文件，但一般情況下，蠕蟲程序只占用內(nèi)存資源而不占用其它資源 蠕蟲也是一種病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通過自己指令的執(zhí)行，將自己的指令代碼寫到其他程序的體內(nèi)，而被感染的文件就被稱為”宿主”，例如，Windows下可執(zhí)行文件的格式為PE格式(Portable Executable)，當(dāng)需要感染pe文件時(shí)，在宿主程序中，建立一個(gè)新段，將病毒代碼寫到新段中，修改的程序入口點(diǎn)等，這樣，宿主程序執(zhí)行的時(shí)候，就可以先執(zhí)行病毒程序，病毒程序運(yùn)行完之

15、后，在把控制權(quán)交給宿主原來的程序指令。可見，病毒主要是感染文件，當(dāng)然也還有像DIRII這種鏈接型病毒，還有引導(dǎo)區(qū)病毒。引導(dǎo)區(qū)病毒他是感染磁盤的引導(dǎo)區(qū)，如果是軟盤、U盤（閃存盤）、移動(dòng)硬盤等被感染，這張受感染的盤用在其他機(jī)器上后，同樣也會(huì)感染其他機(jī)器，所以傳播方式也可以是移動(dòng)存儲(chǔ)設(shè)備。 蠕蟲一般不采取利用PE格式插入文件的方法，而是復(fù)制自身在互聯(lián)網(wǎng)環(huán)境下進(jìn)行傳播，病毒的傳染能力主要是針對計(jì)算機(jī)內(nèi)的文件系統(tǒng)而言，而蠕蟲病毒的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計(jì)算機(jī).局域網(wǎng)條件下的共享文件夾，電子郵件Email，網(wǎng)絡(luò)中的惡意網(wǎng)頁，大量存在著漏洞的服務(wù)器等都成為蠕蟲傳播的良好途徑。網(wǎng)絡(luò)的發(fā)展也使得蠕蟲病毒可以在

16、幾個(gè)小時(shí)內(nèi)蔓延全球!而且蠕蟲的主動(dòng)攻擊性和突然爆發(fā)性將使得人們手足無策! 蠕蟲病毒由兩部分組成：一個(gè)主程序和一個(gè)引導(dǎo)程序。 主程序一旦在機(jī)器上建立就會(huì)去收集與當(dāng)前機(jī)器聯(lián)網(wǎng)的其它機(jī)器的信息。它能通過讀取公共配置文件并運(yùn)行顯示當(dāng)前網(wǎng)上聯(lián)機(jī)狀態(tài)信息的系統(tǒng)實(shí)用程序而做到這一點(diǎn)。隨后，它嘗試?yán)们懊嫠枋龅哪切┤毕萑ピ谶@些遠(yuǎn)程機(jī)器上建立其引導(dǎo)程序。 蠕蟲病毒程序常駐于一臺或多臺機(jī)器中，并有自動(dòng)重新定位(autoRelocation)的能力。如果它檢測到網(wǎng)絡(luò)中的某臺機(jī)器未被占用，它就把自身的一個(gè)拷貝（一個(gè)程序段）發(fā)送給那臺機(jī)器。每個(gè)程序段都能把自身的拷貝重新定位于另一臺機(jī)器中，并且能識別它占用的哪臺機(jī)器。

17、第3章 震蕩波的工作原理及用法3.1震蕩波簡介震蕩波是一種電腦病毒，為I-Worm/Sasser.a的第三方改造版本。該病毒為I-Worm/Sasser.a的第三方改造版本。與該病毒以前的版本相同，也為通過微軟的最新LSASS漏洞進(jìn)行傳播，我們及時(shí)提醒廣大用戶及時(shí)下載微軟的補(bǔ)丁程序來預(yù)防該病毒的侵害。如果在純DOS環(huán)境下執(zhí)行病毒文件，會(huì)顯示出譴責(zé)美國大兵的英文語句。具體技術(shù)特征如下：1.感染系統(tǒng)為：Windows 2000、Windows Server 2003、Windows XP、Windows 72.利用微軟的漏洞：MS04-011；3.病毒運(yùn)行后，將自身復(fù)制為%WinDir%napat

18、ch.exe4.在注冊表啟動(dòng)項(xiàng)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun下創(chuàng)建："napatch.exe" = %WinDir%napatch.exe;這樣，病毒在Windows啟動(dòng)時(shí)就得以運(yùn)行。5.在TCP端口5554建立FTP服務(wù)，用以將自身傳播給其他計(jì)算機(jī)。6.隨機(jī)在網(wǎng)絡(luò)上搜索機(jī)器，向遠(yuǎn)程計(jì)算機(jī)的445端口發(fā)送包含后門程序的非法數(shù)據(jù)，遠(yuǎn)程計(jì)算機(jī)如果存在MS04-011漏洞，將會(huì)自動(dòng)運(yùn)行后門程序，打開后門端口9996。病毒利用后門端口9996，使得遠(yuǎn)程計(jì)算機(jī)連接病毒打開的FTP端口5554，下

19、載病毒體并運(yùn)行，從而遭到感染。7.病毒還會(huì)利用漏洞攻擊LSASS.EXE進(jìn)程，被攻擊計(jì)算機(jī)的LSASS.EXE進(jìn)程會(huì)癱瘓，Windows系統(tǒng)將會(huì)有1分鐘倒計(jì)時(shí)關(guān)閉的提示。8.病毒在C:win32.log中記錄其感染的計(jì)算機(jī)數(shù)目和IP地址3.2震蕩波的原理2004年4月30日發(fā)現(xiàn)的Sasser(震蕩波)LSASS蠕蟲病毒是一款使用Visual C語言編寫的自身執(zhí)行傳播的病毒。 它主要針對eEye安全小組發(fā)現(xiàn)的Microsoft LSA緩沖區(qū)溢出漏洞進(jìn)行攻擊，該漏洞Microsoft公司已經(jīng)于2004年4月13日發(fā)布了安全修補(bǔ)程序。與MSBlaster(沖擊波)RPC DCOM蠕蟲相似，Sasse

20、r使用了一個(gè)公開的LSA緩沖區(qū)溢出漏洞的攻擊代碼去攻擊并試圖獲得受害主機(jī)的一個(gè)命令行下的shell。 一旦連接并獲得shell，蠕蟲會(huì)指示計(jì)算機(jī)系統(tǒng)到另外一個(gè)指定的FTP服務(wù)器上下載一個(gè)可執(zhí)行的病毒體并執(zhí)行拷貝任務(wù)。Sasser蠕蟲所使用的攻擊是houseofdabus黑客編寫的溢出攻擊代碼，該攻擊代碼經(jīng)測試是針對Windows 2000 Professional，Windows 2000 Server和Windows XP Professional等操作系統(tǒng)的英文和俄文版的操作系統(tǒng)。由于蠕蟲使用的攻擊代碼本身的缺陷， 它只能影響到Windows XP和一些特定版本的Windows 2000

21、Professional。 目前沒有任何特征表明除了傳播外該病毒還有什么其他破壞性(給受害系統(tǒng)帶來副作用)。為了確保病毒體在系統(tǒng)重啟能構(gòu)再次被執(zhí)行，一個(gè)新的病毒體Sasser會(huì)把他自己拷貝到當(dāng)前操作系統(tǒng)的系統(tǒng)根目錄(WINDOWS或者WINNT)并且在注冊表中添加到如下鍵值：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun這是malware在啟動(dòng)時(shí)候執(zhí)行自己的惡意程序的經(jīng)典用法。在感染完成后如果該計(jì)算機(jī)已經(jīng)被該病毒感染過，這個(gè)新感染的病毒體會(huì)通過一個(gè)名為Jobaka3l的互斥體檢測到并立刻停止感染。如果病毒實(shí)體是第一次感染該

22、計(jì)算機(jī)，它將打開一個(gè)使用端口5554的FTP并且創(chuàng)建128個(gè)線程開始無限傳播循環(huán)。傳播過程中，病毒會(huì)每3秒就調(diào)用AbortSystemShutdown API函數(shù)來保護(hù)病毒的后續(xù)感染工作。 Sasser僅挑選隨機(jī)的IP地址進(jìn)行掃描和攻擊。當(dāng)感染了該網(wǎng)段的某臺主機(jī)后(它不會(huì)掃描，10.x.x.x，172.16-31.x.x，192.168.x.x和169.254.x.xIP的計(jì)算機(jī))病毒會(huì)隨機(jī)將嘗試攻擊的范圍擴(kuò)展到部分或者是整個(gè)網(wǎng)段。任何一次嘗試中，大概有52%的機(jī)率IP地址是完全隨機(jī)的，其中25%的機(jī)率IP地址的前16個(gè)字節(jié)將和本地IP相同。 (最后8個(gè)字節(jié)隨機(jī))，余下23%

23、的機(jī)率是本地IP的前面8個(gè)字節(jié)將被使用(剩下的24個(gè)字節(jié)隨機(jī))。 隨機(jī)的8個(gè)字節(jié)將在0和254隨機(jī)通過特殊的函數(shù)產(chǎn)生。蠕蟲會(huì)嘗試連接隨機(jī)產(chǎn)生的IP地址的計(jì)算機(jī)系統(tǒng)TCP端口445，如果成功，病毒將發(fā)出一系列的數(shù)據(jù)包刺探對方主機(jī)的SMB Banner以便根據(jù)這些信息確認(rèn)對方所運(yùn)行的Windows系統(tǒng)版本。由于Windows 2000 Professional和Windows 2000 Server的banners是一樣的，病毒會(huì)采用houseofdabus的攻擊代碼嘗試所有的2000系統(tǒng)，因此縮小了病毒感染的成功率。一旦操作系統(tǒng)的版本已經(jīng)選定，Sasser蠕蟲將發(fā)送LSA攻擊代碼并且嘗試連接TC

24、P端口9996以獲得命令行下的shell。如果成功，病毒會(huì)在受害的計(jì)算機(jī)上執(zhí)行如下命令去下載并且運(yùn)行蠕蟲的可執(zhí)行文件。3.3 震蕩波的傳播途徑及危害3.3.1震蕩波的傳播途徑Sasser(震蕩波)病毒利用微軟WindowsNT內(nèi)核平臺上的LSASS漏洞，隨機(jī)的掃描其它網(wǎng)絡(luò)中計(jì)算機(jī)的IP端口，然后進(jìn)行傳播。可以利用防火墻阻止該病毒的傳播，但安全專家建議，給系統(tǒng)打上MS04011補(bǔ)丁是最根本的解決措施。 病毒運(yùn)行時(shí)會(huì)不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Win2K或XP的計(jì)算機(jī)，找到后就利用DCOM RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會(huì)被傳送到對方計(jì)算機(jī)中進(jìn)行感染，使系統(tǒng)操作異常、

25、不停重啟、甚至導(dǎo)致系統(tǒng)崩潰。另外，該病毒還會(huì)對微軟的一個(gè)升級網(wǎng)站進(jìn)行拒絕服務(wù)攻擊，導(dǎo)致該網(wǎng)站堵塞，使用戶無法通過該網(wǎng)站升級系統(tǒng)。 3.3.2震蕩波的三大危害該病毒主要有三大危害：一是大量占用系統(tǒng)資源導(dǎo)致計(jì)算機(jī)無法正常運(yùn)行，使相關(guān)的網(wǎng)絡(luò)服務(wù)陷于癱瘓；二是造成電腦頻繁重啟，用戶的作業(yè)受到嚴(yán)重影響；三是阻塞網(wǎng)絡(luò)通道，導(dǎo)致互聯(lián)網(wǎng)接入以及相關(guān)的網(wǎng)絡(luò)程序無法正常運(yùn)行。另外，由于該病毒利用操作系統(tǒng)漏洞進(jìn)行傳播，許多防病毒軟件和防火墻軟件尚不能有效查殺，所以極易在單位的局域網(wǎng)范圍內(nèi)迅速擴(kuò)散，造成整個(gè)網(wǎng)絡(luò)的癱瘓。該病毒與去年夏天造成大規(guī)模電腦系統(tǒng)癱瘓的“沖擊波”病毒相比有過之而無不及。 由于環(huán)境不同，各種行業(yè)系

26、統(tǒng)感染“震蕩波”病毒以后表現(xiàn)也不同。在金融系統(tǒng)主要表現(xiàn)為服務(wù)器停止響應(yīng)用戶的賬單申請，終端用戶無法通過網(wǎng)絡(luò)查詢、辦理業(yè)務(wù)；電信和網(wǎng)絡(luò)運(yùn)營商可能因感染病毒使用戶無法接入；個(gè)人用戶會(huì)因電腦頻繁啟動(dòng)、響應(yīng)緩慢而無法正常工作；該病毒會(huì)使系統(tǒng)的“安全認(rèn)證子系統(tǒng)”（）崩潰，使與安全認(rèn)證有關(guān)的程序出現(xiàn)嚴(yán)重運(yùn)行錯(cuò)誤；有些特殊行業(yè)用戶還可能因系統(tǒng)意外停機(jī)而造成數(shù)據(jù)丟失或損毀，后果十分嚴(yán)重。由于該病毒導(dǎo)致電腦頻繁重新啟動(dòng)，不明原因的用戶往往會(huì)懷疑是主板等硬件故障。3.4震蕩波與沖擊波的對比3.4.1背景介紹沖擊波（Worm.Blaster）病毒2003年8月12日全球爆發(fā)，該病毒由于是利用系統(tǒng)漏洞進(jìn)行傳播，因此，

27、沒有打補(bǔ)丁的電腦用戶都會(huì)感染該病毒，從而使電腦出現(xiàn)系統(tǒng)重啟、無法正常上網(wǎng)等現(xiàn)象。2004年5月1日，“震蕩波(Worm.Sasser)”病毒在網(wǎng)絡(luò)出現(xiàn)，該病毒也是通過系統(tǒng)漏洞進(jìn)行傳播的，感染了病毒的電腦會(huì)出現(xiàn)系統(tǒng)反復(fù)重啟、機(jī)器運(yùn)行緩慢，出現(xiàn)系統(tǒng)異常的出錯(cuò)框等現(xiàn)象。3.4.2兩大惡性病毒的四大區(qū)別一、 利用的漏洞不同沖擊波（Worm.Blaster）病毒利用的是系統(tǒng)的RPC 漏洞，病毒攻擊系統(tǒng)時(shí)會(huì)使RPC服務(wù)崩潰，該服務(wù)是Windows操作系統(tǒng)使用的一種遠(yuǎn)程過程調(diào)用協(xié)議。震蕩波(Worm.Sasser)病毒利用的是系統(tǒng)的LSASS服務(wù)，該服務(wù)是操作系統(tǒng)的使用的本地安全認(rèn)證子系統(tǒng)服務(wù)。二、 產(chǎn)生的

28、文件不同沖擊波（Worm.Blaster）病毒運(yùn)行時(shí)會(huì)在內(nèi)存中產(chǎn)生名為msblast.exe的進(jìn)程，在系統(tǒng)目錄中產(chǎn)生名為msblast.exe的病毒文件，震蕩波(Worm.Sasser)病毒運(yùn)行時(shí)會(huì)在內(nèi)存中產(chǎn)生名為avserve.exe的進(jìn)程，在系統(tǒng)目錄中產(chǎn)生名為avserve.exe的病毒文件。三、 利用的端口不同沖擊波（Worm.Blaster）病毒會(huì)監(jiān)聽端口69,模擬出一個(gè)TFTP服務(wù)器，并啟動(dòng)一個(gè)攻擊傳播線程,不斷地隨機(jī)生成攻擊地址，嘗試用有RPC漏洞的135端口進(jìn)行傳播。震蕩波(Worm.Sasser)病毒會(huì)本地開辟后門，聽TCP的5554端口，然后做為FTP服務(wù)器等待遠(yuǎn)程控制命令，

29、并瘋狂地試探連接445端口。四、 攻擊目標(biāo)不同沖擊波（Worm.Blaster）病毒攻擊所有存在有RPC漏洞的電腦和微軟升級網(wǎng)站，而震蕩波(Worm.Sasser)病毒攻擊的是所有存在有LSASS漏洞的電腦，但目前還未發(fā)現(xiàn)有攻擊其它網(wǎng)站的現(xiàn)象。第4章 震蕩波的防御4.1快速識別震蕩波病毒如果用戶的電腦中出現(xiàn)下列現(xiàn)象之一，則表明已經(jīng)中毒，就應(yīng)該立刻采取措施清除該病毒。一、出現(xiàn)系統(tǒng)錯(cuò)誤對話框被攻擊的用戶，如果病毒攻擊失敗，則用戶的電腦會(huì)出現(xiàn) LSA Shell 服務(wù)異常框，接著出現(xiàn)一分鐘后重啟計(jì)算機(jī)的“系統(tǒng)關(guān)機(jī)”框。二、系統(tǒng)日志中出現(xiàn)相應(yīng)記錄如果用戶無法確定自己的電腦是否出現(xiàn)過上述的異常框或系統(tǒng)重

30、啟提示，還可以通過查看系統(tǒng)日志的辦法確定是否中毒。方法是，運(yùn)行事件查看器程序，查看其中系統(tǒng)日志，如果出現(xiàn)如下圖所示的日志記錄，則證明已經(jīng)中毒。三、系統(tǒng)資源被大量占用病毒如果攻擊成功，則會(huì)占用大量系統(tǒng)資源，使CPU占用率達(dá)到100%，出現(xiàn)電腦運(yùn)行異常緩慢的現(xiàn)象。四、內(nèi)存中出現(xiàn)名為 avserve 的進(jìn)程病毒如果攻擊成功，會(huì)在內(nèi)存中產(chǎn)生名為 avserve.exe 的進(jìn)程，用戶可以用Ctrl+Shift+Esc 的方式調(diào)用“任務(wù)管理器”，然后查看是內(nèi)存里是否存在上述病毒進(jìn)程。五、系統(tǒng)目錄中出現(xiàn)名為 avserve.exe 的病毒文件病毒如果攻擊成功，會(huì)在系統(tǒng)安裝目錄（默認(rèn)為 C:WINNT ）下產(chǎn)

31、生一個(gè)名為avserve.exe 的病毒文件。6、 注冊表中出現(xiàn)病毒鍵值注冊表的 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 項(xiàng)中建立病毒鍵值："avserve.exe "="%WINDOWS%avserve.exe " 。4.2清除震蕩波病毒1、斷網(wǎng)打補(bǔ)丁如果不給系統(tǒng)打上相應(yīng)的漏洞補(bǔ)丁，則連網(wǎng)后依然會(huì)遭受到該病毒的攻擊，用戶應(yīng)該先下載相應(yīng)的漏洞補(bǔ)丁程序，然后斷開網(wǎng)絡(luò)，運(yùn)行補(bǔ)丁程序，當(dāng)補(bǔ)丁安裝完成后再上網(wǎng)。2、清除內(nèi)存中的病毒進(jìn)程要想徹底清除該病毒，應(yīng)該先清除內(nèi)存中的病毒進(jìn)程，用戶可以按CTRL+SHIFT+ESC三或者