基本介紹
- 中文名:衝擊波
- 外文名:Win32.Poza
- 別稱:W32.Blaster.Worm;
- 病毒屬性:蠕蟲病毒
具體介紹
Win32.Poza是一種通過網際網路傳播的蠕蟲病毒。它利用了Windows中最近被發現的針對RPC服務的安全缺陷。關於此漏洞的更多信息可以訪問: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp 。此蠕蟲能夠使系統崩潰,並迅速向其他容易受到攻擊的電腦蔓延。
蠕蟲會創建一個名為"BILLY"的互斥體來避免重複感染,也會在註冊表中創建下面這個鍵值,以便每次Windows一啟動蠕蟲檔案就自動運行:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update = "msblast.exe"
蠕蟲會隨機生成IP位址,並搜尋此IP位址段內的所有電腦。如果發現有連線埠135開放的機器,蠕蟲就會使用檔案TFTP.EXE通過FTP方式來從遠程計算機上下載病毒檔案MSBLAST.EXE(檔案大小為 6,176 位元組,經過UPX壓縮),從而進行傳播(注意:TFTP.EXE是一種ftp工具,默認安裝於Win2000及其後版本的Windows中)。
蠕蟲會嘗試感染裝有Win 2000及Win XP作業系統的電腦。病毒發作時,針對作業系統的不同會分別顯示下面的對話框:
在裝有Windows XP的機器上:
在作業系統為Windows 2000的機器上:
而作業系統為Windows XP的機器會在此時自動關機,並顯示下面這個視窗:
如果當前月份大於8月,或當前日期大於15日,蠕蟲會創建一個系統進程,用來連續不斷的向windowsupdate.com傳送隨機數據,引起一個針對此Windows升級網站的DDOS攻擊(拒絕服務攻擊),從而導致該網站堵塞,使用戶無法通過該網站升級系統。
蠕蟲本身還包含有下列字元信息:
I just want to say LOVE YOU SAN!!
Billy Gates , why do you make this possible ? Stop making money and fix your software!!
(比爾·蓋茨,你為什麼要使這種攻擊成為可能?不要再掙更多的錢了,好好修正你發行的軟體吧。)
