什麼是RPC漏洞?
英文原義:Remote Procedure Call Protocol
中文釋義:(RFC-1831)遠程過程調用協議
註解:一種通過網絡從遠程計算機程序上請求服務,而不需要了解底層網絡技術的協議。RPC協議假定某些傳輸協議的存在,如TCP或UDP,爲通信程序之間攜帶信息數據。在OSI網絡通信模型中,RPC跨越了傳輸層和應用層。RPC使得開發包括網絡分佈式多程序在內的應用程序更加容易。
Remote Procedure Call (RPC)是Windows使用的一種遠程過程調用協議,RPC提供進程間交互通信機制,允許在某臺計算機上運行的程序無縫地在遠程系統上執行代碼。Microsoft的RPC部分在通過TCP/IP處理信息交換時存在問題,遠程攻擊者可以利用這個漏洞以本地系統權限在系統上執行任意指令。此漏洞是由於不正確處理畸形消息所致,漏洞影響使用RPC的DCOM接口。此接口處理由客戶端機器發送給服務器的DCOM對象激活請求(如UNC路徑)。攻擊者成功利用此漏洞可以以本地系統權限執行任意指令。攻擊者可以在系統上執行任意操作,如安裝程序、查看或更改、刪除數據或建立系統管理員權限的帳戶。
衝擊波(Worm.Blaster)病毒介紹
病毒運行時會不停地利用IP掃描技術尋找網絡上系統爲Win2K或XP的計算機,找到後就利用DCOM RPC緩衝區漏洞攻擊該系統,一旦攻擊成功,病毒體將會被傳送到對方計算機中進行感染,使系統操作異常、不停重啓、甚至導致系統崩潰。另外,該病毒還會對微軟的一個升級網站進行拒絕服務攻擊,導致該網站堵塞,使用戶無法通過該網站升級系統。在8月16日以後,該病毒還會使被攻擊的系統喪失更新該漏洞補丁的能力。
衝擊波(Worm.Blaster)病毒檔案
警惕程度:★★★★
發作時間:隨機
病毒類型:蠕蟲病毒
傳播途徑:網絡/PRC漏洞
依賴系統: WINDOWS 2000/XP
病毒介紹:
該病毒被瑞星全球反病毒監測網率先截獲。病毒運行時會不停地利用IP掃描技術尋找網絡上系統爲Win2K或XP的計算機,找到後就利用DCOM RPC緩衝區漏洞攻擊該系統,一旦攻擊成功,病毒體將會被傳送到對方計算機中進行感染,使系統操作異常、不停重啓、甚至導致系統崩潰。另外,該病毒還會對微軟的一個升級網站進行拒絕服務攻擊,導致該網站堵塞,使用戶無法通過該網站升級系統。以後,該病毒還會使被攻擊的系統喪失更新該漏洞補丁的能力。
病毒的發現與清除:
1. 病毒通過微軟的最新RPC漏洞進行傳播,因此用戶應先給系統打上RPC補丁,補丁地址:
http://it.rising.com.cn/newSite/Channels/info/virus/TopicDatabasePackage/12-145900547.htm
2. 病毒運行時會建立一個名爲:“BILLY”的互斥量,使病毒自身不重複進入內存,並且病毒在內存中建立一個名爲:“msblast”的進程,用戶可以用任務管理器將該病毒進程終止。
3. 病毒運行時會將自身複製爲:%systemdir%/msblast.exe,用戶可以手動刪除該病毒文件。
注意:%Windir%是一個變量,它指的是操作系統安裝目錄,默認是:“C:/Windows”或:“c:/Winnt”,也可以是用戶在安裝操作系統時指定的其它目錄。%systemdir%是一個變量,它指的是操作系統安裝目錄中的系統目錄,默認是:“C:/Windows/system”或:“c:/Winnt/system32”。
4. 病毒會修改註冊表的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run項,在其中加入:"windows auto update"="msblast.exe",進行自啓動,用戶可以手工清除該鍵值。
5. 病毒會用到135、4444、69等端口,用戶可以使用防火牆軟件將這些端口禁止或者使用“TCP/IP篩選” 功能,禁止這些端口。
衝擊波中毒症狀:
1、莫名其妙地死機或重新啓動計算機;
2、IE瀏覽器不能正常地打開鏈接;
3、不能複製粘貼;
4、有時出現應用程序,比如Word異常;
5、網絡變慢;
6、最重要的是,在任務管理器裏有一個叫“msblast.exe”的進程在運行!
以上這些情形,如果是最近兩天才出現的現象,都很有可能是由於受到了“衝擊波”病毒的攻擊。尤其是第六條符合,那就肯定是已經被衝擊波攻擊成功了,必須立刻採取殺毒、打補丁的措施。