返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
直面“冲击波杀手”
2003-10-01 本网 / 北京 王冬 周力

本文出自《网管员世界》2003年第10期 |杀毒防毒| 栏目

“冲击波杀手”是“冲击波”病毒的变种。为什么叫“冲击波杀手”呢?表面上看,该病毒执行后,首先会将自己复制到系统目录下,然后通过检测本机的注册表来判断是否已经安装RPC漏洞补丁,如果没有安装,则病毒会试图从微软下载补丁并安装。安装完补丁后,该病毒便会寻找计算机中的“冲击波”病毒,找到后便试图将该病毒杀掉,并继续扫描网络上有RPC漏洞的计算机,重复以上感染动作。
该病毒的目的是想要干掉“冲击波”病毒,然后再自动消失,但是由于在编写方面存在缺陷,在病毒运行时,并不能真正地给用户系统打上系统补丁,也不能完全将“冲击波”病毒干掉,而且该病毒还会造成另外一些负面影响:该病毒会开启数百个的线程Ping其它IP地址,并通过RPC漏洞快速传播自己,消耗大量CPU和网络资源,并且有可能会导致系统死机。病毒在传播过程中会导致网络交通堵塞,影响局域网的正常运转,并使一些计算机产生一些异常情况。

故障产生

“冲击波”病毒大约是在8月17日大面积爆发的,但由于正赶上周六周日,我单位局域网用户基本没有上网,正好躲过一劫。但是,8月19日晚,我接到报告说院内局域网用户不能上网浏览网页了,我查看了防火墙日志,发现了大量的报错记录,但看不出头绪。我又看了交换机的状态,发现交换机与防火墙和中心交换机相连的接口表示流量状态的灯一直亮着不灭(正常情况下应该闪烁),我们首先排除了网络硬件故障,防火墙软件的故障现象也不会是这种现象,所以我们判断很有可能院内局域网用户计算机中了黑客木马在不停地发垃圾数据包将网络堵塞。在随后的几天里,我们通过观察下联交换机的状态,寻找“中招” 计算机,但“敌人”好像很狡猾,一会儿显示是这台计算机,一会儿又显示是另一台计算机,我们始终未能找到元凶。

原因分析

我找了一台安装了Windows 2000的计算机,安装了有名的Sniffer软件,希望通过侦听网络上传播的报文看看是哪台计算机。观察一段时间后,我发现我的计算机在给不是我院局域网段的IP地址有规律的从1至255发大量的Ping包,这是什么原因?难道我的计算机上也有木马?我之所以没有怀疑到正流行的“冲击波”病毒,是因为中了“冲击波”病毒的计算机的反应并不是造成网络拥塞。但由于一时找不到原因,就决定升级一下杀毒软件,给网络中心的服务器和我的计算机杀毒,排除网络服务器中木马的可能。结果发现了在我的计算机和几台服务器的内存和系统c:winnt system32wins安装目录下有两个名为“dllhost”的文件有毒。这是什么病毒?我上了国内有名的病毒网站一查才知道这是一种“冲击波”病毒的变种,名为“冲击波杀手”,中了这种病毒的状态正是网络拥塞。为了求证,我们先把网络中心的所有计算机和服务器打上了微软RPC补丁,彻底杀了毒,然后单独接到网络上,网络正常了,也能够向外访问了,真正的原因找到了。

问题解决

首先,根据防病毒专家的建议,在防火墙上关闭了可能用来传播病毒的端口号,分别是TCP 135/138/4444和UDP 69。其次,在全院范围开展杀毒行动,所有上网的计算机只要安装的是Windows NT/2000/XP,就先用下载的免费专杀工具杀一遍,然后打上微软公布的RPC补丁,为保险起见再杀一遍,确认没有漏洞和病毒后再连接到局域网上。就这样忙活了几天,终于将全院的计算机杀了一遍,再次连到网络上,网络恢复了正常。

经验总结

为了保证以后不会再犯同样的错误,我们总结了以下几点:
1、建议使用微软产品的公司或个人经常留意微软发布的漏洞补丁,同时及时为自己的服务器或计算机升级补丁,虽然微软的补丁实在太多,但也不要大意(我就是一个例子)。
2、 防病毒应当将一个局域网络作为整体来考虑。在网络高度普及的今天不再有独善其身的情况了,所有上网的计算机一损俱损。网络管理员应当在局域网中布置网络杀毒方案,同时应该在网络的入口布置病毒检测,从而在源头上遏制住病毒的入侵。
3、 杀毒软件要及时升级,现在每天世界上都会有成百上千的新型病毒诞生,再好的杀毒软件,不升级也起不到作用。

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读