計算機系統安全：七《衝擊波蠕蟲》

衝擊波蠕蟲

（

Worm.Blaster

或

Lovesan

，也有譯為“疾風病毒”）是一種散播於Microsoft作業系統，Windows XP與Windows 2000的蠕蟲病毒，爆發於2003年8月。

本蠕蟲第一次被注意並如燎原火般散佈，是在2003年的8月11日。它不斷繁殖並感染，在8月13日達到高峰，之後藉助ISP與網路上散佈的治療方法阻止了此蠕蟲的散佈。

在2003年8月29日，一個來自美國明尼蘇達州的18歲年輕人

Jeffrey Lee Parson

由於創造了Blaster。B變種而被逮捕；他在2005年被判處十八個月的有期徒刑。

影響方式

此蠕蟲試圖在8月15日發動一波SYN資訊洪水，目標是windowsupdate。com的80埠，藉此對此網站做出分散式拒絕服務攻擊（DDoS）。由於此蠕蟲的目標是windowsupdate。com（微軟的重定向網站）而非windowsupdate。microsoft。com（微軟更新的本站），因此微軟便暫時地關閉此網站以降低此蠕蟲對網站造成的可能影響。

此蠕蟲藉由一個在DCOM遠端過程呼叫（RPC）出現的快取溢位漏洞而在受影響的作業系統上散佈。此漏洞的修補檔已在一個月之前就已公佈在MS03-026以及MS03-039上。

本蠕蟲將兩段訊息隱藏在程式碼中，第一個是：

也因為此句話，本蠕蟲也稱為Lovesan蠕蟲。

第二個：

是一個給比爾·蓋茨（微軟的開創者，以及本蠕蟲的攻擊目標）的訊息：“為什麼比爾·蓋茨要讓這（漏洞）可行？不要只顧著賺錢並趕快修補軟體漏洞”。

感染徵兆

雖然此蠕蟲只能在Windows 2000與XP上傳播，但是它也可讓執行RPC的作業系統如Windows NT、Windows XP （64 bit）與Windows Server 2003造成不穩。一旦此蠕蟲在網路上偵測到連線（不論撥接或寬頻），它將會造成此係統的不穩定並顯示一道訊息以及在一分鐘之內重啟：

解法

Windows的錯誤訊息以及重引導狀況可藉由更改重引導服務的設定而避免，使得使用者有足夠時間移除Blaster病毒以及安裝漏洞的修補程式。此步驟如下：

進入：開始->執行

鍵入“

services.msc

”並按下

Enter

找出“

Remote Procedure Call

”服務（非RPC定位器），按下右鍵並選擇

屬性

（

Properties

）

選擇

恢復

標籤頁，並設定失敗行動選項為“不做動作”

選擇

確定

由於RPC是Windows的內嵌部件，因此失敗動作在移除Blaster後理應儘快設定回

重引導

。

另外一個阻止電腦重啟的方法為：

鍵入“

shutdown -a

”並按下

Enter

如果你以管理者登入系統，這方法可以順利停止重引導（-a代表

Abort

）。

以上動作必須在重引導訊息出現後，在時限內完成。而

shutdown.exe

檔案並不能在Windows 2000直接找到，必須從Windows 2000資源包中提取出。

另外，執行Open Software Foundation的分散式運算環境有可能被此蠕蟲造成的流量所影響。此蠕蟲產生的網路資料包對DCE造成DDoS，也會造成DCE的崩潰。

對微軟Windows使用者的最佳方法是時時登入Microsoft Update，將系統保持在最新狀態，以及更新防毒軟體。Windows Update尤其重要，因為惡意軟體（例如Blaster）常常利用最近找到的漏洞來破壞，因為這類的新漏洞許多使用者還來不及更新修正程式。