黎明　聶樂　鄭逸笙　李希龍　田秋實(shí)

摘要：沖擊波病毒曾在2000年至2005年集中爆發(fā)，這種病毒會(huì)讓系統(tǒng)的運(yùn)行速度和上網(wǎng)速度嚴(yán)重的變慢甚至崩潰，讓人們頭痛不已。本文對(duì)沖擊波病毒的特征進(jìn)行了總結(jié)，并提出了一定的防御措施。

關(guān)鍵詞：沖擊波病毒；特征；防御措施

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-864X（2016）03-0195-01

沖擊波病毒，故名思意，就是放出一波波的沖擊波來進(jìn)行攻擊，它不斷的掃描附近的ip并發(fā)送大量的垃圾報(bào)文來阻塞網(wǎng)絡(luò)，這種病毒會(huì)讓系統(tǒng)的運(yùn)行速度和上網(wǎng)速度嚴(yán)重的變慢甚至崩潰[1]。

一、沖擊波病毒特征

沖擊波病毒發(fā)作時(shí)大概會(huì)有以下幾個(gè)特征：

（1）運(yùn)行時(shí)將自身復(fù)制為%systemdir%＼“沖擊波病毒”.exe，%systemdir%是一個(gè)環(huán)境變量，它指的是操作系統(tǒng)安裝目錄中的系統(tǒng)目錄，在x86的操縱系統(tǒng)中默認(rèn)是“c：＼windows＼system32”。

（2）沖擊波病毒運(yùn)行時(shí)會(huì)在系統(tǒng)進(jìn)程中建立一個(gè)互斥進(jìn)程，目的是在內(nèi)存中只有一份病毒進(jìn)程，以免被用戶發(fā)現(xiàn)。病毒運(yùn)行時(shí)會(huì)在內(nèi)存建立一個(gè)進(jìn)程，該進(jìn)程就是活的病毒體，此進(jìn)程可能會(huì)類似于系統(tǒng)進(jìn)程，從而以免被手動(dòng)發(fā)現(xiàn)，比如，expl0rer，svch0st等。

（3）病毒會(huì)修改注冊(cè)表，在HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼

CurrentVersion＼Run中添加鍵值：“windows auto update”=“活體病毒程序.exe”，來讓每次系統(tǒng)重啟時(shí)，病毒都會(huì)自動(dòng)運(yùn)行，在注冊(cè)表添加的自啟程序一般不會(huì)被注意到，所以用戶根本無法察覺。

（4）病毒會(huì)以指定時(shí)間為間隔，每個(gè)指定時(shí)間檢測(cè)一次網(wǎng)絡(luò)狀態(tài)，當(dāng)網(wǎng)絡(luò)可用時(shí)，病毒會(huì)在本地的UDP/69端口上建立一個(gè)TFPT服務(wù)器，并啟動(dòng)一個(gè)攻擊傳播線程，不斷的隨機(jī)生成攻擊地址，進(jìn)行攻擊，以最近的ip地址為優(yōu)先目標(biāo)。

（5）當(dāng)病毒尋找到終端后，就會(huì)向目標(biāo)終端的135端口發(fā)送數(shù)據(jù)流。

（6）當(dāng)病毒攻擊成功后，目標(biāo)計(jì)算機(jī)便會(huì)監(jiān)聽TCP/4444端口作為后門，并綁定cmd.exe。然后蠕蟲會(huì)連接到4444端口，發(fā)送TFTP下載信息，目標(biāo)主機(jī)通過TFTP下載并運(yùn)行病毒。

（7）當(dāng)病毒攻擊失敗時(shí)，可能會(huì)造成沒有打補(bǔ)丁的windows系統(tǒng)服務(wù)崩潰，系統(tǒng)可能會(huì)自動(dòng)重啟計(jì)算機(jī)。

（8）病毒檢測(cè)系統(tǒng)日期，如果在最新病毒補(bǔ)丁發(fā)布后，則向windows更新站點(diǎn)發(fā)動(dòng)DDOS攻擊，使微軟網(wǎng)站的更新站點(diǎn)無法為用戶提供服務(wù)。

二、沖擊波病毒的防御

沖擊波病毒利用了windows系統(tǒng)的DCOM RPC緩沖區(qū)漏洞攻擊系統(tǒng)，一旦攻擊成功，病毒體將會(huì)被傳送到對(duì)方計(jì)算機(jī)中進(jìn)行感染，不需要用戶的參與[2]。

對(duì)于沖擊波病毒這種不同與一般病毒的病毒，既表現(xiàn)出了非同一般的破壞功能，也表現(xiàn)出了自身的特點(diǎn)，變種多，功能變種大，但是當(dāng)前的反病毒廠商仍然利用傳統(tǒng)的病毒特征串查毒法進(jìn)行查毒[3]，雖然病毒庫日益更新，效率也越來越高，但是瓊斯病毒的出現(xiàn)，宣判了這種特征碼查毒的死刑[4]，針對(duì)該類蠕蟲病毒，本文建議做如下措施：

（1）針對(duì)在郵件上傳播的蠕蟲病毒：把殺毒軟件安裝在郵件服務(wù)器上，對(duì)收信發(fā)信內(nèi)容進(jìn)行過濾，對(duì)郵件所攜帶的附件進(jìn)行殺毒，在用戶使用的客戶端上限制以下擴(kuò)展名的附件運(yùn)行，如.vbs、.js、.exe等；用戶不給予權(quán)限運(yùn)行可疑郵件攜帶的附件。

（2）針對(duì)弱口令共享傳播的病毒：嚴(yán)格來說，這種蠕蟲病毒大多數(shù)利用了系統(tǒng)漏洞來進(jìn)行傳播，通過猜測(cè)弱口令和一些特定的開放端口來進(jìn)行傳播。甚至更高級(jí)的病毒還自帶了黑客字典來進(jìn)行弱口令的破解，網(wǎng)絡(luò)上泛濫的黑客字典給了這些病毒極大的便利。對(duì)于這樣的病毒，要定期修改自己的管理員密碼，管理員要定期的通過工具掃描校內(nèi)開放端口的流量情況，并嘗試對(duì)部分主機(jī)的開放端口進(jìn)行嘗試破解，及時(shí)的發(fā)現(xiàn)并解決問題。

（3）針對(duì)通過系統(tǒng)漏洞傳播的病毒：自動(dòng)更新配置國(guó)際功能，主機(jī)要及時(shí)安裝系統(tǒng)補(bǔ)丁，防患于未然，通過定期的漏洞掃描產(chǎn)品主機(jī)找到漏洞，發(fā)現(xiàn)漏洞，及時(shí)升級(jí)，注意安全警示系統(tǒng)供應(yīng)商，安全廠商，如有問題，采取相應(yīng)的措施。

（4）重命名或者刪除命令解釋器；如Windows系統(tǒng)下的WScript.exe；通過防火墻禁止其他端口以外的服務(wù)端口，切斷病毒傳播渠道和溝通渠道。

作為網(wǎng)絡(luò)管理員來說，需要掌握一些軟件的基本使用，比如sniffer，如果發(fā)現(xiàn)網(wǎng)絡(luò)異常，可以通過sniffer迅速的判斷問題出自哪里，蠕蟲病毒會(huì)建立大量的連接來使網(wǎng)絡(luò)擁塞，關(guān)注那些流量非常大的計(jì)算機(jī)，比如某一臺(tái)計(jì)算機(jī)的連接，收到的數(shù)據(jù)包是0，而發(fā)出的數(shù)據(jù)包卻有455個(gè)，這對(duì)HTTP協(xié)議來說顯然是不正常的，它是基于TCP的，而TCP是面向連接的協(xié)議，不可能只發(fā)不收，這樣就可以確認(rèn)出問題的主機(jī)，如果通過具體的病毒，會(huì)發(fā)現(xiàn)，蠕蟲病毒發(fā)包的目的地址非常的多，而且通常每個(gè)地址只發(fā)兩個(gè)數(shù)據(jù)包，也就是HTTP的SYN包，SYN包是三次握手時(shí)建立連接的包，也就是說，該主機(jī)試圖同網(wǎng)絡(luò)中非常多的主機(jī)建立連接，但沒有得到任何回應(yīng)，這種建立很明顯是不正常的，可能是某種軟件或者感染了某種采用HTTP協(xié)議傳播的病毒導(dǎo)致，定位了具體IP，再到相應(yīng)的主機(jī)尋找問題就簡(jiǎn)單了許多。

三、結(jié)論

沖擊波病毒在2000年至2005年曾經(jīng)讓人們頭痛不已[5]，當(dāng)時(shí)的網(wǎng)絡(luò)技術(shù)發(fā)展遠(yuǎn)非今日可比，今日，我們不僅出現(xiàn)了計(jì)算機(jī)網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)處理、社交網(wǎng)絡(luò)、甚至還有多種基于不同傳感器、不同技術(shù)的無線網(wǎng)絡(luò)，在這樣復(fù)雜的網(wǎng)絡(luò)環(huán)境下，重新認(rèn)識(shí)并解讀沖擊波病毒，對(duì)我們現(xiàn)在網(wǎng)絡(luò)技術(shù)的發(fā)展是很有必要的。

參考文獻(xiàn)：

[1]柏橋. “沖擊波”病毒斬立決[J]. 網(wǎng)絡(luò)與信息，2003，17（9）：73.

[2]洪亮. 由“沖擊波”病毒談Windows RPC/DCOM漏洞[J]. 揚(yáng)州教育學(xué)院學(xué)報(bào)，2004，22（3）：66-68.

[3]梁宏，張健. 沖擊后的反思—“沖擊波”病毒事件引起的思考[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2003，3（10）：9-11.

[4]許信玉. 從沖擊波病毒看蠕蟲的防范[J]. 有線電視技術(shù)，2004，11（10）：71-72.

[5]張傲翔. “沖擊波”病毒洞穿全球安全防線[J]. 信息網(wǎng)絡(luò)安全，2003，3（9）：23-24.

作者簡(jiǎn)介：黎明（1982-），女，講師，碩士，主要從事網(wǎng)絡(luò)安全研究。