衝擊波蠕蟲
技術名稱 | Blaster |
---|---|
別名 | 衝擊波蠕蟲 |
家族 | M.Blaster家族 |
分類 | 電腦蠕蟲 |
感染系統 | Windows |
發現時間 | 2003年8月11日 |
來源地 | 美國明尼蘇達州 |
作者 | Jeffrey Lee Parson |
衝擊波蠕蟲(英語:Worm.Blaster或Lovesan,也有譯為「疾風病毒」)是一種散播於Microsoft作業系統,Windows XP與Windows 2000的蠕蟲病毒,爆發於2003年8月。
本蠕蟲第一次被注意並如燎原火般散佈,是在2003年的8月11日。它不斷繁殖並感染,在8月13日達到高峰,之後藉助ISP與網路上散佈的治療方法阻止了此蠕蟲的散佈。
在2003年8月29日,一個來自美國明尼蘇達州的18歲年輕人傑弗里·李·帕森(Jeffrey Lee Parson)由於創造了Blaster.B變種而被逮捕;他在2005年被判處十八個月的有期徒刑。
影響方式
[編輯]此蠕蟲試圖在8月15日發動一波SYN資訊洪水,目標是windowsupdate.com (頁面存檔備份,存於網際網路檔案館)的80埠,藉此對此網站做出分散式阻斷服務攻擊(DDoS)。由於此蠕蟲的目標是windowsupdate.com(微軟的重定向網站)而非windowsupdate.microsoft.com(微軟更新的本站),因此微軟便暫時地關閉此網站以降低此蠕蟲對網站造成的可能影響。
此蠕蟲藉由一個在DCOM遠程過程調用(RPC)出現的緩衝區溢位漏洞而在受影響的作業系統上散佈。此漏洞的修補檔已在一個月之前就已公佈在MS03-026以及MS03-039上。
本蠕蟲將兩段訊息隱藏在程式碼中,第一個是:
“ | I just want to say LOVE YOU SAN!! | ” |
也因為此句話,本蠕蟲也稱為Lovesan蠕蟲。
第二個:
“ | billy gates why do you make this possible ? Stop making money and fix your software!! |
” |
是一個給比爾·蓋茲(微軟的開創者,以及本蠕蟲的攻擊目標)的訊息:「為什麼比爾·蓋茲要讓這(漏洞)可行?不要只顧著賺錢並趕快修補軟體漏洞!!」。
感染徵兆
[編輯]雖然此蠕蟲只能在Windows 2000與XP上傳播,但是它也可讓執行RPC的作業系統如Windows NT、Windows XP (64 bit)與Windows Server 2003造成不穩。一旦此蠕蟲在網路上偵測到連線(不論撥接或寬頻),它將會造成此系統的不穩定並顯示一道訊息以及在一分鐘之內重新開機:
“ | Windows must now restart because the Remote Procedure Call
(RPC)Service terminated unexpectedly. |
” |
解法
[編輯]Windows的錯誤訊息以及重開機狀況可藉由更改重開機服務的設定而避免,使得使用者有足夠時間移除Blaster病毒以及安裝漏洞的修補程序。此步驟如下:
- 進入:開始->運行
- 鍵入"services.msc"並按下Enter
- 找出"Remote Procedure Call"服務(非RPC定位器),按下右鍵並選擇屬性(Properties)
- 選擇恢復分頁,並設置失敗行動選項為「不做動作」
- 選擇確定
由於RPC是Windows的內嵌部件,因此失敗動作在移除Blaster後理應儘快設定回重開機。
另外一個阻止電腦重新開機的方法為:
- 進入:開始->執行
- 鍵入"shutdown -a"並按下Enter
如果你以管理者登入系統,這方法可以順利停止重開機(-a代表Abort)。
以上動作必須在重開機訊息出現後,在時限內完成。而shutdown.exe檔案並不能在Windows 2000直接找到,必須從Windows 2000資源包中提取出。
另外,執行開放軟件基金會的分散式運算環境有可能被此蠕蟲造成的流量所影響。此蠕蟲產生的網路封包對DCE造成DDoS,也會造成DCE的崩潰。
對微軟Windows使用者的最佳方法是時時登入Microsoft Update,將系統保持在最新狀態,以及更新防毒軟體。Windows Update尤其重要,因為惡意軟體(例如Blaster)常常利用最近找到的漏洞來破壞,因為這類的新漏洞許多使用者還來不及更新修正程式。
趣聞
[編輯]在仔細檢查Blaster的程式碼後,研究者發現原始碼中內嵌了Parson的名字,而警方也因此逮捕了他。[來源請求]
外部連結
[編輯]- CERT Advisory CA-2003-20 (頁面存檔備份,存於網際網路檔案館)
- Security Response site from Symantec
- Article from Vnunet