衝擊波蠕蟲

衝擊波蠕蟲(英語:Worm.BlasterLovesan,也有譯為「疾風病毒」)是一種散播於Microsoft作業系統Windows XPWindows 2000蠕蟲病毒,爆發於2003年8月。

衝擊波蠕蟲
技術名稱Blaster
別名衝擊波蠕蟲
家族M.Blaster家族
分類電腦蠕蟲
感染系統Windows
發現時間2003年8月11日
來源地美國明尼蘇達州
作者Jeffrey Lee Parson

本蠕蟲第一次被注意並如燎原火般散佈,是在2003年的8月11日。它不斷繁殖並感染,在8月13日達到高峰,之後藉助ISP與網絡上散佈的治療方法阻止了此蠕蟲的散佈。

在2003年8月29日,一個來自美國明尼蘇達州的18歲年輕人傑弗里·李·帕森(Jeffrey Lee Parson)由於創造了Blaster.B變種而被逮捕;他在2005年被判處十八個月的有期徒刑

影響方式

此蠕蟲試圖在8月15日發動一波SYN資訊洪水,目標是windowsupdate.com頁面存檔備份,存於互聯網檔案館)的80埠,藉此對此網站做出分散式阻斷服務攻擊(DDoS)。由於此蠕蟲的目標是windowsupdate.com(微軟的重新導向網站)而非windowsupdate.microsoft.com(微軟更新的本站),因此微軟便暫時地關閉此網站以降低此蠕蟲對網站造成的可能影響。

此蠕蟲藉由一個在DCOM遠端程序呼叫(RPC)出現的緩衝區溢位漏洞而在受影響的作業系統上散佈。此漏洞的修補檔已在一個月之前就已公佈在MS03-026以及MS03-039上。

本蠕蟲將兩段訊息隱藏在程式碼中,第一個是:

也因為此句話,本蠕蟲也稱為Lovesan蠕蟲。

第二個:

是一個給比爾·蓋茨(微軟的開創者,以及本蠕蟲的攻擊目標)的訊息:「為什麼比爾·蓋茨要讓這(漏洞)可行?不要只顧著賺錢並趕快修補軟件漏洞!!」。

感染徵兆

雖然此蠕蟲只能在Windows 2000與XP上載播,但是它也可讓執行RPC的作業系統如Windows NTWindows XP (64 bit)Windows Server 2003造成不穩。一旦此蠕蟲在網絡上偵測到連線(不論撥接或寬頻),它將會造成此系統的不穩定並顯示一道訊息以及在一分鐘之內重新開機:

解法

Windows的錯誤訊息以及重開機狀況可藉由更改重開機服務的設置而避免,使得使用者有足夠時間移除Blaster病毒以及安裝漏洞的修補程式。此步驟如下:

  • 進入:開始->執行
  • 鍵入"services.msc"並按下Enter
  • 找出"Remote Procedure Call"服務(非RPC定位器),按下右鍵並選擇屬性Properties
  • 選擇恢復分頁,並設置失敗行動選項為「不做動作」
  • 選擇確定

由於RPC是Windows的內嵌部件,因此失敗動作在移除Blaster後理應儘快設置回重開機

另外一個阻止電腦重新開機的方法為:

  • 進入:開始->執行
  • 鍵入"shutdown -a"並按下Enter

如果你以管理者登入系統,這方法可以順利停止重開機(-a代表Abort)。

以上動作必須在重開機訊息出現後,在時限內完成。而shutdown.exe檔案並不能在Windows 2000直接找到,必須從Windows 2000資源包中提取出。

另外,執行開放軟件基金會分散式運算環境有可能被此蠕蟲造成的流量所影響。此蠕蟲產生的網絡封包對DCE造成DDoS,也會造成DCE的崩潰。

對微軟Windows使用者的最佳方法是時時登入Microsoft Update,將系統保持在最新狀態,以及更新防毒軟件。Windows Update尤其重要,因為惡意軟件(例如Blaster)常常利用最近找到的漏洞來破壞,因為這類的新漏洞許多使用者還來不及更新修正程式。

趣聞

在仔細檢查Blaster的程式碼後,研究者發現原始碼中內嵌了Parson的名字,而警方也因此逮捕了他。[來源請求]

外部連結

參閱