本栏目由趋势科技提供
问:主要攻击方式为何?
Trendlabs: 利用微软RPC DCOM缓冲溢出漏洞进行传播
美国政府预估这只不用使用者开启 eMail 附件、执行指令的蠕虫,将会造成 75% 的互联网用户无法正常联机,关键在于"漏洞"。趋势科技表示,「仇恨者」(Blast)是一个利用RPC远程过程调用-remote Procedure Call) DCOM缓冲溢出漏洞的蠕虫,它可以允许攻击者在目标机器上获得完全的权限并且可以执行任意的代码。「仇恨者」(Blast)会持续扫描具有漏洞的系统,一旦找到符合条件的计算器系统,便会向135端口发送资料。
问:趋势科技用户的解决方案?
Trendlabs: 即刻更新扫瞄引擎至5.6以上和病毒码至604(含)以上
趋势科技全球防病毒研究暨技术支持中心-TrendLabs,已经发出" 红色警戒"最高风险指数。趋势科技已掌握以上病毒,并且也对所有用户发布病毒警讯,同时趋势科技呼吁使用者即刻更新扫瞄引擎至5.6以上和病毒码至604(含)以上,并立即至趋势科技网站下载清除程序以侦测及清除此病毒,同时也立即至微软网站下载更新Security Patch。
问:病毒撰写者身份?
Trendlabs: 可能是微软仇视者所为,原代码字符串"Stop making money and fix your software!!"
美国国土安全部(Department of Homeland Security) 才在这个月初前所未有针对 Windows 发出一系列的安全警告,没料到这只针对微软操作系统而来的蠕虫果然挑上了微软漏洞,大肆进军网络,造成计算机无法正常作业或死机停摆及网络拥塞。在蠕虫程序中可以找到如下字符串,显见蠕虫撰写者是冲着微软而来:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
更巧合的是「仇恨者」(Blast)最近的发病日期,8月16 日恰巧是微软发布RPC补丁的满月日---7月 16 日发布。
问:为何传染速度如此快?
Trendlabs: 自启动技术以及常驻内存检验
和传统病毒不一样的是,「仇恨者」(Blast)并不会将病毒程序复制到硬盘里,而是将自己驻留在内存当中。这点跟 CodeRed 和 Slammer 一样,一旦使用者激活计算机,蠕虫便开始运行,使其传染运行速度更加快速。
问:既然以微软网站为攻击目标,为何会影响其它计算机用户呢?
Trendlabs: 网络瘫痪,影响联机无法提供正常网络服务
因为「仇恨者」(Blast)会在网络上不断搜寻"符合条件"(未针对相关漏洞打补丁的计算机),造成网络流量大增,甚至死机停摆。比如检查当前计算机是否有可用的网络连接。如果没有连接,则休眠10秒然后再次检查Internet连接。该过程一直持续到一个 Internet 连接被建立。就好象有人一直站在你家门口不肯走,还每隔 10 秒钟敲门要你让他进去一样,直到你让他进门,他又去找别人的麻烦。
问:如果我的系统没有打补丁,「仇恨者」(Blast)会利用我的计算机攻击微软网站吗?
Trendlabs:没有打补丁的系统,形同没有抵抗力,本周六:8/16将首次成为攻击微软网站帮凶
一旦你联机,将成为受害甚至加害的高危险群。
个人用户在黑客攻击网络事件中,除了资料被删除外,还扮演着"帮凶"的角色,比如造成网络壅塞甚至瘫痪的Denial of Service attack 阻绝服务攻击事件中,你的计算机可能是数以万计攻击某网站的共犯之一。
以「仇恨者」(Blast)为例,虽然不会删除您的资料,但一旦您被其盯上,您的计算机就成为任其操作的傀儡计算机,在Internet连接建立的情况下,蠕虫会检查系统日期,在满足下列日期的情况下蠕虫发送对 www.windowsupdate.com的分布式拒绝服务攻击:
* 以下月份的16日至31日: (最近一次,是本周六:8/16)
o 一月
o 二月
o 三月
o 四月
o 五月
o 六月
o 七月
o 八月
* 或是九月至十二月的任意一天
问:「仇恨者」(Blast)目前造成的影响为何??
Trendlabs: 超过百万台计算机受害
1. 产业冲击:目前此病毒造成国内各大产业极大灾情,首波冲击最严重的产业,包括制造业、校园网络与ISP业者,受到病毒严重感染造成企业网络严重拥塞、计算机系统死机,导致无法正常运作。
2. 企业用户冲击:国内已有上百家企业网络和计算机主机受到严重影响,许多企业应用系统无法正常操作造成业务停摆,影响商业交易甚钜。
3. 个人用户冲击:全球上百万台个人计算机用户受到严重感染,Windows NT、2000与XP的个人计算机用户系统执行效能明显降低,计算机死机以致无法正常使用。许多用户,计算机还会自动重新激活,若没有保存的资料,会因此遗失。
4. 网络应用冲击:由于病毒传染速度极快,并不断散布网络攻击封包,造成网络拥塞与网站停摆,许多网络服务与线上交易因而受到严重影响,无法提供正常网络服务。
问:哪里可以找到RPC DCOM缓冲溢出漏洞信息?
Trendlabs: 更多 RPC DCOM 缓冲溢出漏洞信息,请访问微软网页。
网友评论