震荡波电脑病毒丨专栏
发布时间:2019-08-13 08 来源: 互联网 浏览量:212

编者按:网络空间安全近年来日渐成为公众关注的焦点,中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏。

一、谶曰——此“震荡波”非彼“震荡波”

大东:小白,你看什么呢,这么起劲。

小白:变形金刚啊,里面的震荡波好厉害啊。

震荡波(图片来源:百度图片)

大东:那你知不知道电脑病毒也有一个震荡波,也特别厉害。

小白:不知道啊,东哥,快给我讲讲呗。

 

二、话说事件——震荡波电脑病毒爆发

大东:震荡波电脑病毒于2004年4月30日爆发,短短的时间内就给全球造成了数千万美元的损失。

小白:那中了震荡波病毒电脑会有什么特征呢?

大东:电脑一旦中招就会莫名其妙地死机或重新启动计算机,而在纯 DOS 环境下执行病毒文件,则会显示出谴责美国大兵的英文语句。

电脑受到震荡波病毒的感染(图片来源:逍遥科技说)

小白: 真是令人难忘的4月啊。

大东: Sasser(震荡波)LSASS 蠕虫病毒是一款使用 Visual C 语言编写的自身执行传播的病毒。

小白: C语言编写?

大东: 是的,它主要针对 eEye 安全小组发现的 Microsoft LSA 缓冲区溢出漏洞进行攻击。

小白:这个病毒是有目的性的攻击?

大东:没错,Sasser 蠕虫所使用的攻击是溢出攻击代码,该攻击代码经测试是针对 Windows 2000 Professional,Windows 2000 Server 和 Windows XP Professional 等操作系统的英文和俄文版的操作系统。

小白:那也就意味着有些系统并不会感染震荡波病毒对吗?

大东:由于蠕虫使用的攻击代码本身的缺陷, 它只能影响到 Windows XP 和一些特定版本的 Windows 2000 Professional。 目前没有任何特征表明除了传播外该病毒还有什么其他破坏性(给受害系统带来副作用)。

小白:即使这样,这个病毒也带来了不少的损失啊。

大东:损失大概在上亿美元。由于环境不同,各种行业系统感染“震荡波”病毒以后表现也不同。在金融系统主要表现为服务器停止响应用户的账单申请。

小白:那就不能通过网络查询、办理业务了啊。

大东:电信和网络运营商可能因感染病毒使用户无法接入 Internet;个人用户会因电脑频繁启动、响应缓慢而无法正常工作。

小白:那对我们日常使用电脑和生活影响还是挺大的。

大东:不仅如此,该病毒会使 Windows 系统的“安全认证子系统”(LASS)崩溃,使与安全认证有关的程序出现严重运行错误;有些特殊行业用户还可能因系统意外停机而造成数据丢失或损毁,后果十分严重。

电脑受到震荡波病毒的感染(图片来源:百度文库)

大东:由于该病毒导致电脑频繁重新启动,不明原因的用户往往会怀疑是主板等硬件故障。

小白:那病毒是如何通过计算机传播的呢?

大东:不要着急,这就慢慢讲给你听。

三、大话始末

大东:病毒运行时会不停地利用 IP 扫描技术寻找网络上系统为 Win2K 或 XP 的计算机,找到后就利用 DCOM RPC 缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启,甚至导致系统崩溃。

小白: 那我换一个系统不行吗?

大东:另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。 

小白: 好可怕。

大东:为了确保病毒体在系统重启能构再次被执行,一个新的病毒体 Sasser 会把他自己拷贝到当前操作系统的系统根目录(\WINDOWS或者\WINNT)并且在注册表中添加键值。

大东:在感染完成后如果该计算机已经被该病毒感染过,这个新感染的病毒体会通过一个名为 Jobaka3l 的互斥体检测到并立刻停止感染。

小白:如果是第一次受到感染呢?

大东:如果病毒实体是第一次感染该计算机,它将打开一个使用端口5554的 FTP 并且创建128个线程开始无限传播循环。

大东:传播过程中, Sasser 仅挑选随机的 IP 地址进行扫描和攻击。当感染了该网段的某台主机后,病毒会随机将尝试攻击的范围扩展到部分或者是整个网段。

小白:都是随机的?

大东:任何一次尝试中,大概有52%的机率IP地址是完全随机的,其中25%的机率IP地址的前16个字节将和本地IP相同。(最后8个字节随机),余下23%的机率是本地IP的前面8个字节将被使用(剩下的24个字节随机)。 随机的8个字节将在0和254随机通过特殊的函数产生。

小白:如果成功连接到随机的 IP 地址那是不是就算感染成功了?

大东:蠕虫会尝试连接随机产生的IP地址的计算机系统 TCP 端口445,如果成功,病毒将发出一系列的数据包确认对方所运行的Windows系统版本。一旦操作系统的版本已经选定,Sasser 蠕虫将发送 LSA 攻击代码并且尝试连接 TCP 端口9996以获得命令行下的 shell。如果成功,病毒会在受害的计算机上执行如下命令去下载并且运行蠕虫的可执行文件。

小白: 之前好像是有一个冲击波病毒,他们两个的名字好像啊,他们二者有什么关联呢?

大东:与 MSBlaster(冲击波)RPC DCOM 蠕虫相似,Sasser 使用了一个公开的 LSA 缓冲区溢出漏洞的攻击代码去攻击并试图获得受害主机的一个命令行下的 shell。

震荡波与冲击波的不同(图片来源:百度文库)

小白:那不同点呢?

大东:第一点不同是利用的漏洞不同。

小白:震荡波病毒利用的是系统的 LSASS 服务。

大东:对的,该服务是操作系统的使用的本地安全认证子系统服务。

小白:那冲击波利用的是什么漏洞呢?

大东:冲击波病毒利用的是系统的 RPC 漏洞,病毒攻击系统时会使 RPC 服务崩溃,该服务是 Windows 操作系统使用的一种远程过程调用协议。

小白:哦哦哦,了解了,那还有别的不同吗?

大东:两种电脑病毒产生的文件不同。

小白:结尾都是.exe文件吧。

大东:是的,但是冲击波病毒运行时会在内存中产生名为 msblast.exe 的进程,在系统目录中产生名为 msblast.exe 的病毒文件,震荡波病毒运行时会在内存中产生名为 avserve.exe 的进程,在系统目录中产生名为 avserve.exe 的病毒文件。

大东: 而且他们两种病毒攻击的对象和入侵的端口也各不相同。

小白: 区别不少啊。

大东:冲击波病毒攻击所有存在有 RPC 漏洞的电脑和微软升级网站,而震荡波病毒攻击的是所有存在有 LSASS 漏洞的电脑,但目前还未发现有攻击其它网站的现象。

小白:我听了刚才东哥的讲解,知道了震荡波病毒会本地开辟后门,听 TCP 的5554端口,然后做为 FTP 服务器等待远程控制命令,并疯狂地试探连接445端口。对吧?

大东: 没错,而冲击波病毒会监听端口69,模拟出一个 TFTP 服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,尝试用有 RPC 漏洞的135端口进行传播。

小白:那我们应该如何防范它呢?

四、小白内心说—— 对震荡波病毒的防范

小白: 我们应该如何防范震荡波病毒的入侵呢?

大东:保护你的计算机。如果可能的话,为你的计算机安装一个防火墙,这样可以限制病毒的破坏程度,保证病毒被清除之后不再返回。Windows XP 就带有一个防火墙,可以通过微软网站进行安装(microsoft.com/security/protect ),网站上还告诉旧版 Windows 用户如何安装这一防火墙。此外,还可以从第三方公司获得防火墙,由于震荡波会对计算机的互联网接入产生影响,所以在安装防火墙之后你应该运行扫描程序,检查病毒是否已经回到了你的计算机中。

防火墙(图片来源:百度图片)

小白:还有什么措施吗?

大东:为了防止再度感染。安装其它一些安全补丁,保护你的计算机将来不受其它病毒的感染。注意不要过早地恢复你的 System Restore 功能,一定在确定没有感染病毒和计算机已经得到妥善保护之后再恢复。

小白:计算机病毒可以做其他程序所做的任何事,唯一的区别在于它将自己附加在另一个程序上,并且在宿主程序运行时秘密地执行。一旦病毒执行时,它可以完成任何功能,比如删除程序和文件等,其危害性极大。

大东:现在很多人还没有养成定期进行系统升级、维护的习惯,这也是很多人受病毒侵害感染率高的原因之一。只要培养了良好的预防病毒的意识,并充分发挥杀毒软件的防护能力,完全可以将大部分病毒拒之门外的。

五、那年那事——Facebook 的创立

大东:你知不知道2004年2月有一款著名的社交软件上市了?

小白:这个难不倒我,是 Facebook。

大东:可以啊。

大东: 2004年的2月4日,小有名气的哈佛大学生马克•扎克伯格发布了一款名为 the facebook 的小型社交网络。发展至今,Facebook 历经了重大的成长。今天,福布斯网站为我们总结了 Facebook 在过去十二年中所拥有的重大重新设计和新功能,具体如下:

Facebook早期界面(图片来源:牛华网)

大东:Facebook 原来的面貌就是下图所示这样的,在它拥有10亿用户之前,这个网站仅被提供给哈佛的学生访问。而随着时间的推进,Facebook 也变得越来越完善。

来源:中国科学院计算技术研究所

温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」