电脑中了震动波病毒怎么办(震动波电脑病毒)
一、谶曰——此“震动波”非彼“震动波”
大东:小白,你看什么呢,这么起劲。
小白:变形金刚啊,里面的震动波好厉害啊。
震动波(图片起源:百度图片)
大东:那你知不知道电脑病毒也有一个震动波,也特殊厉害。
小白:不知道啊,东哥,快给我讲讲呗。
二、话说事件——震动波电脑病毒爆发
大东:震动波电脑病毒于2004年4月30日爆发,短短的时光内就给全球造成了数千万美元的丧失。
小白:那中了震动波病毒电脑会有什么特点呢?
大东:电脑一旦中招就会莫名其妙地逝世机或重新启动盘算机,而在纯百思特网 DOS 环境下履行病毒文件,则会显示出谴责美国大兵的英文语句。
电脑受到震动波病毒的沾染(图片起源:逍遥科技说)
小白: 真是令人难忘的4月啊。
大东: Sasser(震动波)LSASS 蠕虫病毒是一款应用 Visual C 语言编写的自身履行流传的病毒。
小白: C语言编写?
大东: 是的,它重要针对 eEye 安全小组发明的 Microsoft LSA 缓冲区溢出破绽进行攻击。
小白:这个病毒是有目标性的攻击?
大东:没错,Sasser 蠕虫所应用的攻击是溢出攻击代码,该攻击代码经测试是针对 Windows 2000 Professional,Windows 2000 Server 和 Windows XP Professional 等操作体系的英文和俄文版的操作体系。
小白:那也就意味着有些体系并不会沾染震动波病毒对吗?
大东:由于蠕虫应用的攻击代码本身的缺点, 它只能影响到 Windows XP 和一些特定版本的 Windows 2000 Professional。 目前没有任何特点表明除了流传外该病毒还有什么其他损坏性(给受害体系带来副作用)。
小白:即使这样,这个病毒也带来了不少的丧失啊。
大东:丧失大概在上亿美元。由于环境不同,各种行业体系沾染“震动波”病毒以后表示也不同。在金融体系重要表示为服务器停滞响运用户的账单申请。
小白:那就不能通过网络查询、办理业务了啊。
大东:电信和网络运营商可能因沾染病毒应用户无法接入 Internet;个人用户会因电脑频繁启动、响应迟缓而无法正常工作。
小白:那对我们日常应用电脑和生涯影响还是挺大的。
大东:不仅如此,该病毒会使 Windows 体系的“安全认证子体系”(LASS)瓦解,使与安全认证有关的程序涌现严重运行毛病;有些特别行业用户还可能因体系意外停机而造成数据丧失或损毁,效果十分严重。
电脑受到震动波病毒的沾染(图片起源:百度文库)
大东:由于该病毒导致电脑频沉重新启动,不明原因的用户往往会疑惑是主板等硬件故障。
小白:那病毒是如何通过盘算机流传的呢?
大东:不要焦急,这就慢慢讲给你听。
三、大话始末
大东:病毒运行时会不停地应用 IP 扫描技巧寻找网络上体系为 Win2K 或 XP 的盘算机,找到后就应用 DCOM RPC 缓冲区破绽攻击该体系,一旦攻击胜利,病毒体将会被传送到对方盘算机中进行沾染,使体系操作异常、不停重启,甚至导致体系瓦解。
小白: 那我换一个体系不行吗?
大东:另外,该病毒还会对微软的一个升级网站进行谢绝服务攻击,导致该网站堵塞,应用户无法通过该网站升级体系。
小白: 好恐怖。
大东:为了确保病毒体在体系重启能构再次被履行,一个新的病毒体 Sasser 会把他自己拷贝到当前操作体系的体系根目录(WINDOWS或者WINNT)并且在注册表中添加键值。
大东:在沾染完成后如果该盘算机已经被该病毒沾染过,这个新沾染的病毒领会通过一个名为 Jobaka3l 的互斥体检测到并立刻停滞沾染。
小白:如果是第一次受到沾染呢?
大东:如果病毒实体是第一次沾染该盘算机,它将打开一个应用端口5554的 FTP 并且创立128个线程开端无穷流传循环。
大东:流传进程中, Sasser 仅挑选随机的 IP 地址进行扫描和攻击。当沾染了该网百思特网段的某台主机后,病毒会随机将尝试攻击的规模扩大到部分或者是全部网段。
小白:都是随机的?
大东:任何一次尝试中,大概有52%的机率IP地址是完整随机的,其中25%的机率IP地址的前16个字节将和本地IP雷同。(最后8个字节随机),余下23%的机率是本地IP的前面8个字节将被应用(剩下的24个字节随机)。百思特网 随机的8个字节将在0和254随机通过特别的函数发生。
小白:如果胜利衔接到随机的 IP 地址那是不是就算沾染胜利了?
大东:蠕虫会尝试衔接随机发生的IP地址的盘算机体系 TCP 端口445,如果胜利,病毒将发出一系列的数据包确认对方所运行的Windows体系版本。一旦操作体系的版本已经选定,Sasser 蠕虫将发送 LSA 攻击代码并且尝试衔接 TCP 端口9996以获得命令行下的 shell。如果胜利,病毒会在受害的盘算机上履行如下命令去下载并且运行蠕虫的可履行文件。
小白: 之前好像是有一个冲击波病毒,他们两个的名字好像啊,他们二者有什么关联呢?
大东:与 MSBlaster(冲击波)RPC DCOM 蠕虫类似,Sasser 应用了一个公开的 LSA 缓冲区溢出破绽的攻击代码去攻击并试图获得受害主机的一个命令行下的 shell。
震动波与冲击波的不同(图片起源:百度文库)
小白:那不同点呢?
大东:第一点不同是应用的破绽不同。
小白:震动波病毒应用的是体系的 LSASS 服务。
大东:对的,该服务是操作体系的应用的本地安全认证子体系服务。
小白:那冲击波应用的是什么破绽呢?
大东:冲击波病毒应用的是体系的 RPC 破绽,病毒攻击体系时会使 RPC 服务瓦解,该服务是 Windows 操作体系应用的一种远程进程调用协定。
小白:哦哦哦,懂得了,那还有别的不同吗?
大东:两种电脑病毒发生的文件不同。
小白:结尾都是.exe文件吧。
大东:是的,但是冲击波病毒运行时会在内存中发生名为 msblast.exe 的过程,在体系目录中发生名为 msblast.exe 的病毒文件,震动波病毒运行时会在内存中发生名为 avserve.exe 的过程,在体系目录中发生名为 avserve.exe 的病毒文件。
大东: 而且他们两种病毒攻击的对象和入侵的端口也各不雷同。
小白: 差别不少啊。
大东:冲击波病毒攻击所有存在有 RPC 破绽的电脑和微软升级网站,而震动波病毒攻击的是所有存在有 LSASS 破绽的电脑,但目前还未发明有攻击其它网站的现象。
小白:我听了刚才东哥的讲授,知道了震动波病毒会本地开拓后门,听 TCP 的5554端口,然后做为 FTP 服务器期待远程掌握命令,并猖狂地试探衔接445端口。对吧?
大东: 没错,而冲击波病毒会监听端口69,模仿出一个 TFTP 服务器,并启动一个攻击流传线程,不断地随机生成攻击地址,尝试用有 RPC 破绽的135端口进行流传。
小白:那我们应当如何防备它呢?
四、小白心坎说—— 对震动波病毒的防备
小白: 我们应当如何防备震动波病毒的入侵呢?
大东:掩护你的盘算机。如果可能的话,为你的盘算机安装一个防火墙,这样可以限制病毒的损坏水平,保证病毒被消除之后不再返回。Windows XP 就带有一个防火墙,可以通过微软网站进行安装(microsoft.com/security/protect ),网站上还告知旧版 Windows 用户如何安装这一防火墙。此外,还可以从第三方公司获得防火墙,由于震动波会对盘算机的互联网接入发生影响,所以在安装防火墙之后你应当运行扫描程序,检讨病毒是否已经回到了你的盘算机中。
防火墙(图片起源:百度图片)
小白:还有什么办法吗?
大东:为了防止再度沾染。安装其它一些安全补丁,掩护你的盘算机将来不受其它病毒的沾染。注意不要过早地恢复你的 System Restore 功效,必定在肯定没有沾染病毒和盘算机已经得到妥当掩护之后再恢复。
小白:盘算机病毒可以做其他程序所做的任何事,唯一的差别在于它将自己附加在另一个程序上,并且在宿主程序运行时机密地履行。一旦病毒履行时,它可以完成任何功效,比如删除程序和文件等,其伤害性极大。
大东:现在很多人还没有养成定期进行体系升级、保护的习惯,这也是很多人受病毒损害沾染率高的原因之一。只要造就了良好的预防病毒的意识,并充足施展杀毒软件的防护才能,完整可以将大部分病毒拒之门外的。
五、那年那事——Facebook 的创建
大东:你知不知道2004年2月有一款有名的社交软件上市了?
小白:这个难不倒我,是 Facebook。
大东:可以啊。
大东: 2004年的2月4日,小著名气的哈佛大学生马克•扎克伯格宣布了一款名为 the facebook 的小型社交网络。发展至今,Facebook 历经了重大的成长。今天,福布斯网站为我们总结了 Facebook 在过去十二年中所拥有的重大重新设计和新功效,具体如下: