黑基网 首页 学院 电脑技术 查看内容

全程详解 怕黑屏而关闭自动更新更危险

2008-11-14 10:11| 投稿: computer

摘要:   转载请注明出处 电脑报(www.shudoo.com)  2008年第44期F版      看了本文,你会知道:  1. 现在网上“黑屏冲击波”病...
  转载请注明出处 电脑报(www.shudoo.com)  2008年第44期F版      看了本文,你会知道:  1. 现在网上“黑屏冲击波”病毒正在快速传播  2. 中毒后,你的电脑会出现倒计时关机等症状  3. 它的首选目标是为防范黑屏而关闭自动更新的电脑  4. 它利用MS08-067漏洞进行传播  5. 黑客利用MS08-067批量溢出工具进行疯狂攻击  6. 如何清除病毒解以及修补漏洞  在微软推出黑屏计划几天后,网上出现了名为“黑屏冲击波”的病毒(Win32.Troj.Unknown.z.397312),从它的命名中就知道跟黑屏有关。没错,如果你为了避免黑屏,将系统的自动升级功能关闭了,没有及时修改系统的安全补丁,那你就算它的目标了。  也许你要问:冲击波是很老的病毒了,怎么可能还有效?虽然都可以导致出现倒计时关机,但此冲击波病毒可不是2003年的冲击波病毒,它利用的是最新曝出的MS08-067漏洞进行感染的,如果你的电脑没有打上相应补丁,该病毒就能发作。中了该病毒的电脑会有以下四个特征:第一,出现倒计时关机的提示框。第二,系统运行越来越缓慢。第三,电脑鼠标被控制。第四,各种账号和密码被盗。  如果你的电脑出现以上特征,那就非常不幸,你中了“黑屏冲击波”病毒。如果你没有中该病毒,也别先忙着庆幸,你的电脑还没有完全摆脱黑客的“魔手”,知道为什么吗?因为问题的关键是在MS08-067漏洞上,不用病毒,黑客还可以用攻击程序直接入侵,一旦让黑客成功入侵电脑,你的账号和密码就会被盗。  目前相关的黑客工具正各大黑客网站上快速地传播,有不是黑客利用这些工具大肆进行破坏,危险不言而喻了。图1就是某位黑客利用相关工具批量溢出的“成果”,一次就成功入侵的数十台没有打上补丁的电脑,现在是不是有种不寒而栗的感觉了?那该漏洞又是怎么产生的?黑客又是如何利用该漏洞直接入侵的?   被黑客攻击的电脑   远程调用溢出是祸因  这次微软曝出的MS08-067漏洞,威胁性相当巨大。黑客利用该漏洞,可以远程发起攻击,让你的电脑时不时的就出现倒计时关机(如果你关闭了自动更新),令人烦不胜烦。此外,木马也可以利用该漏洞进行传播,试图盗窃用户的各种账号和密码——这样的病毒已经出现了。  该漏洞是因为RPC协议存在溢出缺陷导致的,这与当年肆虐网络的冲击波病毒非常相似。远程过程调用(Remote Procedure Call,RPC)是一个计算机通信协议。该协议允许运行于一台计算机的程序调用另一台计算机的子程序,而程序员无需额外地为这个交互作用编程。  小知识:有关RPC的想法至少可以追溯到1976年以“信使报”(Courier)的名义使用。RPC首次在UNIX平台上普及的执行工具程序是SUN公司的RPC(现在叫ONC RPC)。它被用作SUN的NFC的主要部件。ONC RPC今天仍在服务器上被广泛使用。 另一个早期UNIX平台的工具是“阿波罗”计算机网络计算系统(NCS),它很快就用做OSF的分布计算环境(DCE)中的DCE/RPC的基础,并补充了DCOM。  Windows的ConPathMacros函数中的wcscpy在拷贝含有[url=file://\..\]\..\[/url]..的长字符串时出现溢出。ConPathMacros函数中wcscpy执行复制操作,正常的字符串复制后就向下继续执行了,黑客制作的畸形的字wcscpy被调用时,会被执行两次,这与就会超出程序的边界,导致溢出,所以MS08-067漏洞出现了。 模拟入侵远程电脑C盘   MS08-067漏洞在微软推出补丁后没有多久,就有国外黑客组织公布了漏洞利用工具PoC版本,可能是开发过于匆忙,这个程序本身存在瑕疵,无法成功利用,所以该工具没有流传开来。   之后,网上出现了可以成功网络攻击的Exp版本,这无疑将是没有打补丁电脑的噩梦。而这场噩梦究竟有多恐怖哪?接下来我们就为大家实战演示MS08-067漏洞入侵的全部过程。发动进攻主机:Windows XP SP3,被攻击目标主机:Windows Server 2003(IP地址:192.168.3.76)   第一步:首先准备好MS08-067漏洞的Exp攻击程序,我们本次测试所使用的就是从互联网公开渠道下载的Exp程序。程序下载后解压缩放置到自己制定的文件夹中。   准备好攻击测试程序后,点击开始菜单中的“控制面板”,然后双击打开“管理工具”中的“服务”选项。在打开的“服务”窗口列表中,将Server服务、Computer Browser服务、Workstation服务全部启动。如果不将这三项服务启动,攻击程序将无法正常发动攻击。   第二步:服务开启完成后,依次点击“开始菜单”中的“所有程序”,在弹出的菜单列表中单击“附件”中的“命令提示符”程序,点开之后进入到Exp程序所在目录。然后输入攻击指令。攻击指令相当简单,只需要输入Exp程序名称,然后输入打算攻击的目标主机IP地址即可。以我们的测试环境中的例子为:“MS08067exp.exe 192.168.3.76”输入后回车,此时屏幕如果显示:“SMB Connect OK!Maybe Patched!”则表示Exp程序溢出成功。 Exp程序溢出成功   第三步:在进攻主机中打开系统安全管理工具“Atools”,然后点击左方菜单“基本工具”中的“端口管理”,检查本机系统中是否开启了一个端口好为“840”的端口。如果系统显示已经开启,则表示已经成功的监听并连接到了被攻击的目标计算机。 开启监听端口   第四步:在确定成功溢出目标主机并开启监听端口之后,我们在进攻主机的CMD命令提示符窗口中输入“Telnet 192.168.3.76 4444”回车之后,就成功连接进入到了被攻击的目标主机。连接进入目标主机后,在CMD命令提示符窗口继续输入“net user antiy test /add”命令,此命令将会在目标主机的系统中添加一个用户名为antiy,密码为test的用户。命令成功完成后,再次输入“net localgroup administrators antiy /add”命令,此命令会将用户名为antiy的用户提升为系统管理员。 添加管理员帐户   第五步:在成功提升为管理员之后,继续在CMD命令提示符窗口输入“net share c$=C:\ /user:2”将目标计算机的C盘共享。然后输入“net use [url=file://\192.168.3.76\ipc$]\192.168.3.76\ipc$[/url] /user:antiy test”和“net use x:\ [url=file://\192.168.3.76\c$]\192.168.3.76\c$[/url]”命令,将对方C盘映射共享,此时你已经成功的入侵并可以随意获取对方系统盘中的文件了。 打补丁堵漏洞   根据MS08-067的严重性和危害性,建议广大用户特别是局域网用户,即时更新Windows操作系统的补丁。国内部分盗版用户由于受到Windows黑屏事件影响,可能已经关闭了自动升级补丁的功能,可以通过《360安全卫士》等软件更新补丁。此外,还需要用杀毒软件配合木马查杀软件(例如AVG、《安天木马防线》等)对自己的电脑进行一次彻底的清查。   局域网管理员可以通过防火墙和路由设备阻断TCP 139和445端口,禁用Server和Computer Browser服务,也可以通过Windows中的Internet连接防火墙,并取消“例外”选项卡中“文件和打印机共享”上的复选框。   清除黑屏冲击波病毒   如果你的电脑已经中了利用MS08-067漏洞的“黑屏冲击波”病毒,请用以下方法清除病毒。   第一步:首先运行安全工具WSysCheck(下载地址:http://down1.tech.sina.com.cn/download/down_contents/1186848000/36345.shtml),点击“进程管理”标签,在进程列表找到显示为紫红色的svchost.exe进程。选中进程后,在窗口下方会看到一个名为sysmgr.dll的DLL文件,选中它点击右键选择“卸载模块”命令即可(图5)。 图5   第二步:接着点击程序的“服务管理”标签,从服务列表中找到红色的sysmgr服务。点击右键选择“删除选中的服务”命令,清除该木马的启动服务,这样该木马就不能随机启动了(图6)。 图6   第三步:再点击程序的“文件管理”标签后,在磁盘目录中进入System32目录中的Wbem文件夹,找到该木马的服务端文件sysmgr.dll后,点击右键选择“直接删除文件”命令,将木马从系统彻底清除(图7)。 图7   最后重新安装杀毒软件(例如《金山毒霸》,下载地址:www.duba.net/download/index.shtml)并升级病毒库到最新版本,再进行全盘查杀,将病毒残留物彻底清除干净。 .pb{} .pb textarea{font-size:14px; margin:10px; font-family:"宋体"; background:#FFFFEE; color:#000066} .pb_t{line-height:30px; font-size:14px; color:#000; text-align:center;} /* 分页 */ .pagebox{overflow:hidden; zoom:1; font-size:12px; font-family:"宋体",sans-serif;} .pagebox span{float:left; margin-right:2px; overflow:hidden; text-align:center; background:#fff;} .pagebox span a{display:block; overflow:hidden; zoom:1; _float:left;} .pagebox span.pagebox_pre_nolink{border:1px #ddd solid; width:53px; height:21px; line-height:21px; text-align:center; color:#999; cursor:default;} .pagebox span.pagebox_pre{color:#3568b9; height:23px;} .pagebox span.pagebox_pre a,.pagebox span.pagebox_pre a:visited,.pagebox span.pagebox_next a,.pagebox span.pagebox_next a:visited{border:1px #9aafe5 solid; color:#3568b9; text-decoration:none; text-align:center; width:53px; cursor:pointer; height:21px; line-height:21px;} .pagebox span.pagebox_pre a:hover,.pagebox span.pagebox_pre a:active,.pagebox span.pagebox_next a:hover,.pagebox span.pagebox_next a:active{color:#363636; border:1px #2e6ab1 solid;} .pagebox span.pagebox_num_nonce{padding:0 8px; height:23px; line-height:23px; color:#fff; cursor:default; background:#296cb3; font-weight:bold;} .pagebox span.pagebox_num{color:#3568b9; height:23px;} .pagebox span.pagebox_num a,.pagebox span.pagebox_num a:visited{border:1px #9aafe5 solid; color:#3568b9; text-decoration:none; padding:0 8px; cursor:pointer; height:21px; line-height:21px;} .pagebox span.pagebox_num a:hover,.pagebox span.pagebox_num a:active{border:1px #2e6ab1 solid;color:#363636;} .pagebox span.pagebox_num_ellipsis{color:#393733; width:22px; background:none; line-height:23px;} .pagebox span.pagebox_next_nolink{border:1px #ddd solid; width:53px; height:21px; line-height:21px; text-align:center; color:#999; cursor:default;} .pb{} .pb textarea{font-size:14px; margin:10px; font-family:"宋体"; background:#FFFFEE; color:#000066} .pb_t{line-height:30px; font-size:14px; color:#000; text-align:center;} /* 分页 */ .pagebox{overflow:hidden; zoom:1; font-size:12px; font-family:"宋体",sans-serif;} .pagebox span{float:left; margin-right:2px; overflow:hidden; text-align:center; background:#fff;} .pagebox span a{display:block; overflow:hidden; zoom:1; _float:left;} .pagebox span.pagebox_pre_nolink{border:1px #ddd solid; width:53px; height:21px; line-height:21px; text-align:center; color:#999; cursor:default;} .pagebox span.pagebox_pre{color:#3568b9; height:23px;} .pagebox span.pagebox_pre a,.pagebox span.pagebox_pre a:visited,.pagebox span.pagebox_next a,.pagebox span.pagebox_next a:visited{border:1px #9aafe5 solid; color:#3568b9; text-decoration:none; text-align:center; width:53px; cursor:pointer; height:21px; line-height:21px;} .pagebox span.pagebox_pre a:hover,.pagebox span.pagebox_pre a:active,.pagebox span.pagebox_next a:hover,.pagebox span.pagebox_next a:active{color:#363636; border:1px #2e6ab1 solid;} .pagebox span.pagebox_num_nonce{padding:0 8px; height:23px; line-height:23px; color:#fff; cursor:default; background:#296cb3; font-weight:bold;} .pagebox span.pagebox_num{color:#3568b9; height:23px;} .pagebox span.pagebox_num a,.pagebox span.pagebox_num a:visited{border:1px #9aafe5 solid; color:#3568b9; text-decoration:none; padding:0 8px; cursor:pointer; height:21px; line-height:21px;} .pagebox span.pagebox_num a:hover,.pagebox span.pagebox_num a:active{border:1px #2e6ab1 solid;color:#363636;} .pagebox span.pagebox_num_ellipsis{color:#393733; width:22px; background:none; line-height:23px;} .pagebox span.pagebox_next_nolink{border:1px #ddd solid; width:53px; height:21px; line-height:21px; text-align:center; color:#999; cursor:default;}
小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部