2003年7月16日,发布了“RPC接口中的缓冲区溢出”的漏洞补丁。该漏洞存在于RPC 中处理通过TCP/IP的消息交换的部分,攻击者通过TCP135端口,向远程计算机发送特殊形式的请求,允许攻击者在目标机器上获得完全的权限并以执行任意代码。
该病毒充分利用了RPC/DCOM漏洞,首先使受攻击的计算机远程执行了病毒代码;其次使RPCSS服务停止响应,PRC意外中止,从而产生由于PRC中止导致的一系列连锁反应。针对RPC/DCOM漏洞所编写的病毒代码构成了整个病毒代码中产生破坏作用的最重要的部分。
通过对冲击波病毒的整个工作流程进行分析,可以归纳得到病毒的行为特征:
1.主动攻击:蠕虫在本质上已经演变为黑客入侵的自动化工具,当蠕虫被释放(release)后,从搜索漏洞,到利用搜索结果攻击系统,到复制副本,整个流程全由蠕虫自身主动完成。
2.利用系统、网络应用服务漏洞:计算机系统存在漏洞是蠕虫传播的前提,利用这些漏洞,蠕虫获得被攻击的计算机系统的相应权限,完成后继的复制和传播过程。正是由于漏洞产生原因的复杂性,导致面对蠕虫的攻击防不胜防。
3.造成网络拥塞:蠕虫进行传播的第一步就是找到网络上其它存在漏洞的计算机系统,这需要通过大面积的搜索来完成,搜索动作包括:判断其它计算机是否存在;判断特定应用服务是否存在;判断漏洞是否存在。这不可避免的会产生附加的网络数据流量。即使是不包含破坏系统正常工作的恶意代码的蠕虫,也会因为病毒产生了巨量的网络流量,导致整个网络瘫痪,造成经济损失。
4.反复性:即使清除了蠕虫在文件系统中留下的任何痕迹,如果没有修补计算机系统漏洞,重新接入到网络中的计算机还是会被重新感染。
5.破坏性:从蠕虫的历史发展过程可以看到,越来越多的蠕虫开始包含恶意代码,破坏被攻击的计算机系统,而且造成的经济损失数目越来越大。