冲击波病毒是利用在2003年7月21日公布的RPC漏洞进行传播的,该病毒于当年8月爆发。
该病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2000或XP的计算机,找到后就利用DCOM/RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统奔溃。(推荐学习:PHP视频教程)
另外,该病毒还会对系统升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。
只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞,具体涉及的操作系统是:Windows 2000\XP\Server 2003\NT4.0。
冲击波病毒长6176bytes,是后门和蠕虫功能混合型的病毒,包括三个组件:蠕虫载体、TFTP服务器文件、攻击模块,病毒会下载并运行病毒文件msblast.exe。
冲击波的传播模式为:扫描-攻击-复制。
扫描模块采用的扫描策略是:随机选取某一段IP地址,然后对这一地址段上的主机扫描。病毒作者会对扫描策略进行一些改进,比如在IP地址段的选择上,可以主要针对当前主机所在的网段扫描,对外网段则随机选择几个小的IP地址段进行扫描。对扫描次数进行限制,只进行几次扫描。把扫描分散在不同的时间段进行。
扫描策略设计的原则有三点:尽量减少重复的扫描,使扫描发送的数据包总量减少到最小;保证扫描覆盖到尽量大的范围;处理好扫描的时间分布,使得扫描不要集中在某一时间内发生。
一旦确认漏洞存在后就可以进行相应的攻击步骤,这一部关键的问题是对漏洞的理解和利用。攻击成功后,是获得一个远程主机的shell,例如对win2k系统来说就是cmd.exe,得到这个shell后就拥有了对整个系统的控制权。
复制过程有很多种方法,可以利用系统本身的程序实现,也可以用病毒自代的程序实现。复制过程实际上就是一个文件传输的过程,实现网络文件传输很简单。
更多PHP相关技术文章,请访问PHP图文教程栏目进行学习!
Atas ialah kandungan terperinci 冲击波是计算机病毒吗. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!