Le virus Shockwave s'est propagé en exploitant la vulnérabilité RPC annoncée le 21 juillet 2003. Le virus a éclaté en août de la même année.
Lorsque le virus est en cours d'exécution, il utilise constamment la technologie d'analyse IP pour trouver les ordinateurs équipés de systèmes Win2000 ou XP sur le Une fois trouvé, exploitez la vulnérabilité du tampon DCOM/RPC pour attaquer le système. Une fois l'attaque réussie, le corps du virus sera transmis à l'ordinateur de l'autre partie pour infection, provoquant un fonctionnement anormal du système. redémarrer continuellement et même provoquer un crash du système. (Apprentissage recommandé : Tutoriel vidéo PHP)
De plus, le virus effectuera également une attaque par déni de service sur le site Web de mise à niveau du système, provoquant le blocage du site Web et empêchant les utilisateurs de mettre à niveau via le système du site Web.
Tant que l'ordinateur dispose du service RPC et ne dispose pas de correctifs de sécurité, il existe une vulnérabilité RPC. Le système d'exploitation spécifique impliqué est : Windows 2000XPServer 2003NT4.0.
Le virus blast fait 6 176 octets. Il s'agit d'un virus hybride doté de fonctions de porte dérobée et de ver. Il comprend trois composants : un vecteur de ver, un fichier de serveur TFTP et un module d'attaque. Le virus télécharge et exécute le fichier de virus msblast. .exe.
Le mode de propagation de l'onde de choc est : scan-attaque-copie.
La stratégie d'analyse adoptée par le module d'analyse consiste à sélectionner au hasard une certaine adresse IP, puis à analyser les hôtes sur cette plage d'adresses. Les auteurs de virus apporteront quelques améliorations à la stratégie d'analyse. Par exemple, lors de la sélection des segments d'adresse IP, ils peuvent analyser principalement le segment de réseau où se trouve l'hôte actuel et sélectionner au hasard plusieurs petits segments d'adresse IP pour analyser les segments de réseau externes. Limitez le nombre d’analyses à quelques-unes seulement. Répartissez les analyses sur différentes périodes.
Il existe trois principes pour la conception de la stratégie d'analyse : essayer de réduire les analyses répétées pour minimiser la quantité totale de paquets de données envoyés par l'analyse ; garantir que l'analyse couvre une plage aussi large que possible ; numérisation afin que la numérisation Ne vous concentrez pas sur une certaine période de temps.
Une fois l'existence de la vulnérabilité confirmée, les étapes d'attaque correspondantes peuvent être effectuées. L'enjeu clé de cette partie est la compréhension et l'utilisation de la vulnérabilité. Une fois l'attaque réussie, un shell de l'hôte distant est obtenu. Par exemple, pour le système win2k, il s'agit de cmd.exe. Après avoir obtenu ce shell, vous contrôlez l'ensemble du système.
Il existe de nombreuses façons de copier le processus, qui peuvent être réalisées en utilisant le propre programme du système ou en utilisant un programme généré par un virus. Le processus de copie est en fait un processus de transfert de fichiers, et il est très simple de réaliser un transfert de fichiers réseau.
Pour plus d'articles techniques liés à PHP, veuillez visiter la colonne Tutoriel graphique PHP pour apprendre !
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!