新型冲击波袭来
看了本文,你会知道:
1. 现在网上“黑屏冲击波”病毒正在快速传播
2. 中毒后,你的电脑会出现倒计时关机等症状
3. 它的首选目标是为防范黑屏而关闭自动更新的电脑
4. 它利用MS08-067漏洞进行传播
5. 黑客利用MS08-067批量溢出工具进行疯狂攻击
6. 如何清除病毒解以及修补漏洞
在微软推出黑屏计划几天后,网上出现了名为“黑屏冲击波”的病毒(Win32.Troj.Unknown.z.397312),从它的命名中就知道跟黑屏有关。没错,如果你为了避免黑屏,将系统的自动升级功能关闭了,没有及时修改系统的安全补丁,那你就算它的目标了。
也许你要问:冲击波是很老的病毒了,怎么可能还有效?虽然都可以导致出现倒计时关机,但此冲击波病毒可不是2003年的冲击波病毒,它利用的是最新曝出的MS08-067漏洞进行感染的,如果你的电脑没有打上相应补丁,该病毒就能发作。中了该病毒的电脑会有以下四个特征:第一,出现倒计时关机的提示框。第二,系统运行越来越缓慢。第三,电脑鼠标被控制。第四,各种账号和密码被盗。
如果你的电脑出现以上特征,那就非常不幸,你中了“黑屏冲击波”病毒。如果你没有中该病毒,也别先忙着庆幸,你的电脑还没有完全摆脱黑客的“魔手”,知道为什么吗?因为问题的关键是在MS08-067漏洞上,不用病毒,黑客还可以用攻击程序直接入侵,一旦让黑客成功入侵电脑,你的账号和密码就会被盗。
目前相关的黑客工具正各大黑客网站上快速地传播,有不是黑客利用这些工具大肆进行破坏,危险不言而喻了。图1就是某位黑客利用相关工具批量溢出的“成果”,一次就成功入侵的数十台没有打上补丁的电脑,现在是不是有种不寒而栗的感觉了?那该漏洞又是怎么产生的?黑客又是如何利用该漏洞直接入侵的?
远程调用溢出是祸因
这次微软曝出的MS08-067漏洞,威胁性相当巨大。黑客利用该漏洞,可以远程发起攻击,让你的电脑时不时的就出现倒计时关机(如果你关闭了自动更新),令人烦不胜烦。此外,木马也可以利用该漏洞进行传播,试图盗窃用户的各种账号和密码——这样的病毒已经出现了。
该漏洞是因为RPC协议存在溢出缺陷导致的,这与当年肆虐网络的冲击波病毒非常相似。远程过程调用(Remote Procedure Call,RPC)是一个计算机通信协议。该协议允许运行于一台计算机的程序调用另一台计算机的子程序,而程序员无需额外地为这个交互作用编程。
小知识:有关RPC的想法至少可以追溯到1976年以“信使报”(Courier)的名义使用。RPC首次在UNIX平台上普及的执行工具程序是SUN公司的RPC(现在叫ONC RPC)。它被用作SUN的NFC的主要部件。ONC RPC今天仍在服务器上被广泛使用。 另一个早期UNIX平台的工具是“阿波罗”计算机网络计算系统(NCS),它很快就用做OSF的分布计算环境(DCE)中的DCE/RPC的基础,并补充了DCOM。
Windows的ConPathMacros函数中的wcscpy在拷贝含有[url=file://\\..\\]\\..\\[/url]..的长字符串时出现溢出。ConPathMacros函数中wcscpy执行复制操作,正常的字符串复制后就向下继续执行了,黑客制作的畸形的字wcscpy被调用时,会被执行两次,这与就会超出程序的边界,导致溢出,所以MS08-067漏洞出现了。
网友评论