沖擊波病毒在網絡攻擊時的預防與處理

黎明　聶樂　鄭逸笙　李希龍　田秋實

摘要：沖擊波病毒曾在2000年至2005年集中爆發，這種病毒會讓系統的運行速度和上網速度嚴重的變慢甚至崩潰，讓人們頭痛不已。本文對沖擊波病毒的特征進行了總結，并提出了一定的防御措施。

關鍵詞：沖擊波病毒；特征；防御措施

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-864X（2016）03-0195-01

沖擊波病毒，故名思意，就是放出一波波的沖擊波來進行攻擊，它不斷的掃描附近的ip并發送大量的垃圾報文來阻塞網絡，這種病毒會讓系統的運行速度和上網速度嚴重的變慢甚至崩潰[1]。

一、沖擊波病毒特征

沖擊波病毒發作時大概會有以下幾個特征：

（1）運行時將自身復制為%systemdir%＼“沖擊波病毒”.exe，%systemdir%是一個環境變量，它指的是操作系統安裝目錄中的系統目錄，在x86的操縱系統中默認是“c：＼windows＼system32”。

（2）沖擊波病毒運行時會在系統進程中建立一個互斥進程，目的是在內存中只有一份病毒進程，以免被用戶發現。病毒運行時會在內存建立一個進程，該進程就是活的病毒體，此進程可能會類似于系統進程，從而以免被手動發現，比如，expl0rer，svch0st等。

（3）病毒會修改注冊表，在HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼

CurrentVersion＼Run中添加鍵值：“windows auto update”=“活體病毒程序.exe”，來讓每次系統重啟時，病毒都會自動運行，在注冊表添加的自啟程序一般不會被注意到，所以用戶根本無法察覺。

（4）病毒會以指定時間為間隔，每個指定時間檢測一次網絡狀態，當網絡可用時，病毒會在本地的UDP/69端口上建立一個TFPT服務器，并啟動一個攻擊傳播線程，不斷的隨機生成攻擊地址，進行攻擊，以最近的ip地址為優先目標。

（5）當病毒尋找到終端后，就會向目標終端的135端口發送數據流。

（6）當病毒攻擊成功后，目標計算機便會監聽TCP/4444端口作為后門，并綁定cmd.exe。然后蠕蟲會連接到4444端口，發送TFTP下載信息，目標主機通過TFTP下載并運行病毒。

（7）當病毒攻擊失敗時，可能會造成沒有打補丁的windows系統服務崩潰，系統可能會自動重啟計算機。

（8）病毒檢測系統日期，如果在最新病毒補丁發布后，則向windows更新站點發動DDOS攻擊，使微軟網站的更新站點無法為用戶提供服務。

二、沖擊波病毒的防御

沖擊波病毒利用了windows系統的DCOM RPC緩沖區漏洞攻擊系統，一旦攻擊成功，病毒體將會被傳送到對方計算機中進行感染，不需要用戶的參與[2]。

對于沖擊波病毒這種不同與一般病毒的病毒，既表現出了非同一般的破壞功能，也表現出了自身的特點，變種多，功能變種大，但是當前的反病毒廠商仍然利用傳統的病毒特征串查毒法進行查毒[3]，雖然病毒庫日益更新，效率也越來越高，但是瓊斯病毒的出現，宣判了這種特征碼查毒的死刑[4]，針對該類蠕蟲病毒，本文建議做如下措施：

（1）針對在郵件上傳播的蠕蟲病毒：把殺毒軟件安裝在郵件服務器上，對收信發信內容進行過濾，對郵件所攜帶的附件進行殺毒，在用戶使用的客戶端上限制以下擴展名的附件運行，如.vbs、.js、.exe等；用戶不給予權限運行可疑郵件攜帶的附件。

（2）針對弱口令共享傳播的病毒：嚴格來說，這種蠕蟲病毒大多數利用了系統漏洞來進行傳播，通過猜測弱口令和一些特定的開放端口來進行傳播。甚至更高級的病毒還自帶了黑客字典來進行弱口令的破解，網絡上泛濫的黑客字典給了這些病毒極大的便利。對于這樣的病毒，要定期修改自己的管理員密碼，管理員要定期的通過工具掃描校內開放端口的流量情況，并嘗試對部分主機的開放端口進行嘗試破解，及時的發現并解決問題。

（3）針對通過系統漏洞傳播的病毒：自動更新配置國際功能，主機要及時安裝系統補丁，防患于未然，通過定期的漏洞掃描產品主機找到漏洞，發現漏洞，及時升級，注意安全警示系統供應商，安全廠商，如有問題，采取相應的措施。

（4）重命名或者刪除命令解釋器；如Windows系統下的WScript.exe；通過防火墻禁止其他端口以外的服務端口，切斷病毒傳播渠道和溝通渠道。

作為網絡管理員來說，需要掌握一些軟件的基本使用，比如sniffer，如果發現網絡異常，可以通過sniffer迅速的判斷問題出自哪里，蠕蟲病毒會建立大量的連接來使網絡擁塞，關注那些流量非常大的計算機，比如某一臺計算機的連接，收到的數據包是0，而發出的數據包卻有455個，這對HTTP協議來說顯然是不正常的，它是基于TCP的，而TCP是面向連接的協議，不可能只發不收，這樣就可以確認出問題的主機，如果通過具體的病毒，會發現，蠕蟲病毒發包的目的地址非常的多，而且通常每個地址只發兩個數據包，也就是HTTP的SYN包，SYN包是三次握手時建立連接的包，也就是說，該主機試圖同網絡中非常多的主機建立連接，但沒有得到任何回應，這種建立很明顯是不正常的，可能是某種軟件或者感染了某種采用HTTP協議傳播的病毒導致，定位了具體IP，再到相應的主機尋找問題就簡單了許多。

三、結論

沖擊波病毒在2000年至2005年曾經讓人們頭痛不已[5]，當時的網絡技術發展遠非今日可比，今日，我們不僅出現了計算機網絡、云計算、大數據處理、社交網絡、甚至還有多種基于不同傳感器、不同技術的無線網絡，在這樣復雜的網絡環境下，重新認識并解讀沖擊波病毒，對我們現在網絡技術的發展是很有必要的。

參考文獻：

[1]柏橋. “沖擊波”病毒斬立決[J]. 網絡與信息，2003，17（9）：73.

[2]洪亮. 由“沖擊波”病毒談Windows RPC/DCOM漏洞[J]. 揚州教育學院學報，2004，22（3）：66-68.

[3]梁宏，張健. 沖擊后的反思—“沖擊波”病毒事件引起的思考[J]. 網絡安全技術與應用，2003，3（10）：9-11.

[4]許信玉. 從沖擊波病毒看蠕蟲的防范[J]. 有線電視技術，2004，11（10）：71-72.

[5]張傲翔. “沖擊波”病毒洞穿全球安全防線[J]. 信息網絡安全，2003，3（9）：23-24.

作者簡介：黎明（1982-），女，講師，碩士，主要從事網絡安全研究。