“捆绑发作的病毒”丨专栏
2019/11/10 8:00:00 中科院之声

     一、谶曰

     大东：小白啊，你是否觉得大部分病毒都是“单兵作战”的？

     小白：病毒都是这样吧？

     大东：其实不然，有一部分病毒，它们深谙“团结就是力量”的道理，把自身与其他病毒捆绑起来，向计算机发起进攻。

     小白：哇!这些病毒好“聪明”啊!

     大东：是啊。它们不仅“团结”，还很狡猾呢!

     小白：东哥，给我讲讲这个“机智”的病毒吧!

    

     二、话说事件

     大东：扫荡波病毒于2008年11月7日被发现。目前，该病毒已经造成大量企业用户局域网瘫痪，数十万用户网络崩溃。

     小白：看来它的威力不小啊!

     大东：是的。扫荡波病毒运行后，遍历局域网的计算机并发起攻击，攻击成功后，被攻击的计算机会下载并执行一个下载器病毒，而下载器病毒还会下载“扫荡波”，同时再下载一批游戏盗号木马。

     小白：下载器病毒又是什么呢？

     大东:下载器是一种木马程序，它本身捆绑了多种病毒文件，如Win32.Hack.Huigezi.hjWin32.Troj.StartPage.hk。通常下载器是在电子邮件中发送的(有时需要利用系统漏洞)，在它执行后，它就会从某个Web站点或其他地方下载恶意的内容，然后释放并运行这些内容，从而达到盗号的目的。

     小白：盗号指的是游戏账号吗？

     大东：你怎么就知道游戏？这是一个盗取QQ密码的木马病毒。

     小白：那我怎么知道我是否已经中了下载器病毒了呢？

     大东：它先在目标系统目录下释放文件%system%\NTdhcp.exe，添加到注册表使病毒开机自启动。它通过监控QQ和TM的登陆窗口，记录其敏感信息，并通过自身所带邮件引擎将盗取的信息发送出去；同时，它还将结束大量安全软件进程，直接降低系统安全性能。

    

     下载器病毒【360图片】

     小白：原来是这样。

     大东：我们言归正传，回到扫荡波病毒上面。扫荡波如果对局域网内电脑的攻击失败，这些电脑上会出现“svchost.exe”出错的提示，说“svchost.exe中发生未处理的win32异常”，同时网络连接中断。用户要是发现自己的电脑中出现此情况，就说明你电脑所处的局域网内有机器中毒。

    

     扫荡波病毒【360图片】

     小白：那如果没有错误提示就可以说明我的电脑没有病毒了吗？

     大东：如果你的电脑并没有中毒，千万不可以有侥幸心理，应该立即打上MS08-067补丁，因为它的攻击不会仅仅一次，而且随着病毒作者对其进行升级，扫荡波会拥有更强的攻击力。

     小白：太可怕了!

     三、大话始末

     大东：其实扫荡波病毒还有另外两个“弟兄”呢!

     小白：“弟兄”？

     大东：它们一个叫“冲击波”，一个叫“震荡波”。

     小白：他们都是电脑病毒吧。

     大东：对，他们很像，都是蠕虫病毒的变种。

     小白：给我讲讲它的两个“弟兄”吧。

     大东：冲击波蠕虫(Worm.Blaster或Lovesan，也有译为“疾风病毒”)是一种散播于Microsoft操作系统，Windows XP与Windows 2000的蠕虫病毒，爆发于2003年8月。

     小白：那只会影响Windows XP与Windows 2000吗？

     大东：并不是这样。虽然此蠕虫只能在Windows 2000与XP上传播，但是它也可对执行RPC的操作系统如Windows NT、Windows XP(64 bit)与Windows Server 2003造成影响。一旦此蠕虫在网络上侦测到连线(不论拨接或宽带)，它将会造成此系统的不稳定，并显示一道讯息以及在一分钟之内重新开机。

    

     冲击波病毒【360图片】

     小白：那震荡波病毒是什么样的呢？

     大东：震荡波为I-Worm/Sasser.a的第三方改造版本。与该病毒以前的版本相同，也是通过微软的最新LSASS漏洞进行传播。

     小白：它是如何攻击用户的计算机的呢？也是利用微软的漏洞吗？

     大东：没错，很聪明嘛。它在本地开辟后门，监听TCP 5554端口，作为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。

     小白：我咋听着和微软的漏洞没啥关系呢？

     大东：听我说完。这个病毒开辟128个扫描线程。以本地IP地址为基础，取随机IP地址，疯狂地试探连接445端口，试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出，导致对方机器程序非法操作以及系统异常等。

     四、小白内心说

     小白：那该如何防范呢？是不是需要安装补丁？

     大东：说的没错，安装补丁的确是有效而又简单的方法。对于已经感染了震荡波病毒的用户来说，首先应该立刻断网，手工删除该病毒文件，然后上网下载补丁程序，并升级杀毒软件或者下载专杀工具。手工删除方法：查C:\WINDOWS目录下产生名为avserve.exe的病毒文件，将其删除。

     小白：那冲击波病毒呢？

     大东：进入：开始->执行，键入"services.msc"并按下 Enter找出"Remote Procedure Call" 服务 (非RPC定位器)。按下右键并选择属性，选择修复分页，并设置失败行动选项为“不做动作”，选择确定。由于RPC是Windows的内嵌部件，因此失败动作在移除Blaster后理应尽快设定回重开机。

     小白：东哥，你说的步骤可真详细。那扫荡波呢？

     大东：一般打补丁就可以解决它了。但是如果打补丁过程中出现问题或还出现崩溃现象则可以使用手工解决方案：禁用IPC$空连接，避免病毒连接到用户系统上。方法如下：运行regedit，找到如下子键|HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA，把RestrictAnonymous键值改为REG_DWORD:00000001就可以了。

     小白：get了!

    

     来源：中国科学院计算技术研究所

     温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」

    

    

    

    

    http://weixin.100md.com
返回 中科院之声 返回首页 返回百拇医药