震荡波专杀工具?震荡波电脑病毒丨专栏
大家好,今天给各位分享震荡波专杀工具的一些知识,其中也会对震荡波电脑病毒丨专栏进行解释,文章篇幅可能偏长,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在就马上开始吧!
1、编者按:网络空间安全近年来日渐成为公众关注的焦点,中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏。
2、一、谶曰——此“震荡波”非彼“震荡波”
3、大东:小白,你看什么呢,这么起劲。
4、小白:变形金刚啊,里面的震荡波好厉害啊。
5、大东:那你知不知道电脑病毒也有一个震荡波,也特别厉害。
6、小白:不知道啊,东哥,快给我讲讲呗。
7、二、话说事件——震荡波电脑病毒爆发
8、大东:震荡波电脑病毒于2004年4月30日爆发,短短的时间内就给全球造成了数千万美元的损失。
9、小白:那中了震荡波病毒电脑会有什么特征呢?
10、大东:电脑一旦中招就会莫名其妙地死机或重新启动计算机,而在纯DOS环境下执行病毒文件,则会显示出谴责美国大兵的英文语句。
11、电脑受到震荡波病毒的感染(图片来源:逍遥科技说)
12、大东:Sasser(震荡波)LSASS蠕虫病毒是一款使用VisualC语言编写的自身执行传播的病毒。
13、大东:是的,它主要针对eEye安全小组发现的MicrosoftLSA缓冲区溢出漏洞进行攻击。
14、小白:这个病毒是有目的性的攻击?
15、大东:没错,Sasser蠕虫所使用的攻击是溢出攻击代码,该攻击代码经测试是针对Windows2000Professional,Windows2000Server和WindowsXPProfessional等操作系统的英文和俄文版的操作系统。
16、小白:那也就意味着有些系统并不会感染震荡波病毒对吗?
17、大东:由于蠕虫使用的攻击代码本身的缺陷,它只能影响到WindowsXP和一些特定版本的Windows2000Professional。目前没有任何特征表明除了传播外该病毒还有什么其他破坏性(给受害系统带来副作用)。
18、小白:即使这样,这个病毒也带来了不少的损失啊。
19、大东:损失大概在上亿美元。由于环境不同,各种行业系统感染“震荡波”病毒以后表现也不同。在金融系统主要表现为服务器停止响应用户的账单申请。
20、小白:那就不能通过网络查询、办理业务了啊。
21、大东:电信和网络运营商可能因感染病毒使用户无法接入Internet;个人用户会因电脑频繁启动、响应缓慢而无法正常工作。
22、小白:那对我们日常使用电脑和生活影响还是挺大的。
23、大东:不仅如此,该病毒会使Windows系统的“安全认证子系统”(LASS)崩溃,使与安全认证有关的程序出现严重运行错误;有些特殊行业用户还可能因系统意外停机而造成数据丢失或损毁,后果十分严重。
24、电脑受到震荡波病毒的感染(图片来源:百度文库)
25、大东:由于该病毒导致电脑频繁重新启动,不明原因的用户往往会怀疑是主板等硬件故障。
26、小白:那病毒是如何通过计算机传播的呢?
27、大东:不要着急,这就慢慢讲给你听。
28、大东:病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOMRPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启,甚至导致系统崩溃。
29、大东:另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。
30、大东:为了确保病毒体在系统重启能构再次被执行,一个新的病毒体Sasser会把他自己拷贝到当前操作系统的系统根目录(\\\\WINDOWS或者\\\\WINNT)并且在注册表中添加键值。
31、大东:在感染完成后如果该计算机已经被该病毒感染过,这个新感染的病毒体会通过一个名为Jobaka3l的互斥体检测到并立刻停止感染。
32、小白:如果是第一次受到感染呢?
33、大东:如果病毒实体是第一次感染该计算机,它将打开一个使用端口5554的FTP并且创建128个线程开始无限传播循环。
34、大东:传播过程中,Sasser仅挑选随机的IP地址进行扫描和攻击。当感染了该网段的某台主机后,病毒会随机将尝试攻击的范围扩展到部分或者是整个网段。
35、大东:任何一次尝试中,大概有52%的机率IP地址是完全随机的,其中25%的机率IP地址的前16个字节将和本地IP相同。(最后8个字节随机),余下23%的机率是本地IP的前面8个字节将被使用(剩下的24个字节随机)。随机的8个字节将在0和254随机通过特殊的函数产生。
36、小白:如果成功连接到随机的IP地址那是不是就算感染成功了?
37、大东:蠕虫会尝试连接随机产生的IP地址的计算机系统TCP端口445,如果成功,病毒将发出一系列的数据包确认对方所运行的Windows系统版本。一旦操作系统的版本已经选定,Sasser蠕虫将发送LSA攻击代码并且尝试连接TCP端口9996以获得命令行下的shell。如果成功,病毒会在受害的计算机上执行如下命令去下载并且运行蠕虫的可执行文件。
38、小白:之前好像是有一个冲击波病毒,他们两个的名字好像啊,他们二者有什么关联呢?
39、大东:与MSBlaster(冲击波)RPCDCOM蠕虫相似,Sasser使用了一个公开的LSA缓冲区溢出漏洞的攻击代码去攻击并试图获得受害主机的一个命令行下的shell。
40、震荡波与冲击波的不同(图片来源:百度文库)
41、大东:第一点不同是利用的漏洞不同。
42、小白:震荡波病毒利用的是系统的LSASS服务。
43、大东:对的,该服务是操作系统的使用的本地安全认证子系统服务。
44、小白:那冲击波利用的是什么漏洞呢?
45、大东:冲击波病毒利用的是系统的RPC漏洞,病毒攻击系统时会使RPC服务崩溃,该服务是Windows操作系统使用的一种远程过程调用协议。
46、小白:哦哦哦,了解了,那还有别的不同吗?
47、大东:两种电脑病毒产生的文件不同。
48、大东:是的,但是冲击波病毒运行时会在内存中产生名为msblast.exe的进程,在系统目录中产生名为msblast.exe的病毒文件,震荡波病毒运行时会在内存中产生名为avserve.exe的进程,在系统目录中产生名为avserve.exe的病毒文件。
49、大东:而且他们两种病毒攻击的对象和入侵的端口也各不相同。
50、大东:冲击波病毒攻击所有存在有RPC漏洞的电脑和微软升级网站,而震荡波病毒攻击的是所有存在有LSASS漏洞的电脑,但目前还未发现有攻击其它网站的现象。
51、小白:我听了刚才东哥的讲解,知道了震荡波病毒会本地开辟后门,听TCP的5554端口,然后做为FTP服务器等待远程控制命令,并疯狂地试探连接445端口。对吧?
52、大东:没错,而冲击波病毒会监听端口69,模拟出一个TFTP服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,尝试用有RPC漏洞的135端口进行传播。
53、小白:那我们应该如何防范它呢?
54、四、小白内心说——对震荡波病毒的防范
55、小白:我们应该如何防范震荡波病毒的入侵呢?
56、大东:保护你的计算机。如果可能的话,为你的计算机安装一个防火墙,这样可以限制病毒的破坏程度,保证病毒被清除之后不再返回。WindowsXP就带有一个防火墙,可以通过微软网站进行安装(microsoft.com/security/protect),网站上还告诉旧版Windows用户如何安装这一防火墙。此外,还可以从第三方公司获得防火墙,由于震荡波会对计算机的互联网接入产生影响,所以在安装防火墙之后你应该运行扫描程序,检查病毒是否已经回到了你的计算机中。
57、大东:为了防止再度感染。安装其它一些安全补丁,保护你的计算机将来不受其它病毒的感染。注意不要过早地恢复你的SystemRestore功能,一定在确定没有感染病毒和计算机已经得到妥善保护之后再恢复。
58、小白:计算机病毒可以做其他程序所做的任何事,唯一的区别在于它将自己附加在另一个程序上,并且在宿主程序运行时秘密地执行。一旦病毒执行时,它可以完成任何功能,比如删除程序和文件等,其危害性极大。
59、大东:现在很多人还没有养成定期进行系统升级、维护的习惯,这也是很多人受病毒侵害感染率高的原因之一。只要培养了良好的预防病毒的意识,并充分发挥杀毒软件的防护能力,完全可以将大部分病毒拒之门外的。
60、五、那年那事——Facebook的创立
61、大东:你知不知道2004年2月有一款著名的社交软件上市了?
62、小白:这个难不倒我,是Facebook。
63、大东:2004年的2月4日,小有名气的哈佛大学生马克?扎克伯格发布了一款名为thefacebook的小型社交网络。发展至今,Facebook历经了重大的成长。今天,福布斯网站为我们总结了Facebook在过去十二年中所拥有的重大重新设计和新功能,具体如下:
64、Facebook早期界面(图片来源:牛华网)
65、大东:Facebook原来的面貌就是下图所示这样的,在它拥有10亿用户之前,这个网站仅被提供给哈佛的学生访问。而随着时间的推进,Facebook也变得越来越完善。
文章分享结束,震荡波专杀工具和震荡波电脑病毒丨专栏的答案你都知道了吗?欢迎再次光临本站哦!