进攻原理冲击波病毒2003年7月16日,发布了“RPC接口中的缓冲区溢出”的破绽补钉。该破绽存在于RPC中处置通过TCP/IP的动静交换的部门,进攻者通过TCP135端口,向长途计算机发送特殊形式的恳求,容许进攻者在目标机器上获得完全的权限并以施行肆意代码。
该病毒足够操纵了RPC/DCOM破绽,起首使受进攻的计算机长途施行了病毒代码;其次使RPCSS办事停行响应,PRC不测中行,从而产生因为PRC中行招致的一系列连锁反响。针对RPC/DCOM破绽所编写的病毒代码构成了整个病毒代码中产生毁坏感化的最重要的部门。
运做传布1。计算机系统被病毒传染后,病毒会主动成立一个名为“BILLY”的互斥线程,当病毒检测到系统中有该线程的话则将不会反复驻进内存,不然病毒会在内存中成立一个名为“msblast”的历程。2。病毒运行时会将本身复造为:%systemdir%\msblast。
exe,%systemdir%指的是操做系统安拆目次中的系统目次,默认为C:\Winnt\system32;紧接着病毒在注册表HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加名为“windowsautoupdate”的启动项目,值为“msblast。
exe”,使得每次启动计算机时主动加载病毒。3。病毒隐躲后,传染病毒的计算机测验考试毗连20个随机的IP地址,而且对存在RPC/DCOM破绽的计算机停止进攻,完成后该病毒会歇息1。8秒,然后陆续扫描下20个随机的IP地址,并停止进攻。4。详细的进攻过程为:在传染病毒的计算机通过TCP135端口向那些被进攻计算机发送进攻代码,被进攻的计算机将在TCP4444端口开启一个CommandShell。
同时监听UDP69端口,当领受到受进攻的机器发来的容许利用DCOMRPC运行长途指令的动静后,将发送Msblast。exe文件,并让受进攻的计算机施行它,至此受进攻的计算机也传染了此病毒。5。假设当前日期是8月或者当月日期是15日以后,病毒还会倡议对windowsupdate。
com的回绝办事进攻(DdoS)。病毒构成冲击波病毒长6176bytes,是后门和蠕虫功用混合型的病毒,包罗三个组件:蠕虫载体、TFTP办事器文件、进攻模块,病毒会下载并运行病毒文件msblast。exe。在那种混合型病毒中还隐躲地存在一段文本信息:IjustwanttosayLOVEYOUSAN!!Billgateswhydoyoumakethispossible?Stopmakingmoneyandfixyoursoftware!!。