冲击波内幕点滴

冲击波内幕点滴

作者：幽谷听泉

时间：2003-07-21 上午  人物：flashsky

发现了MS WINDOWS 2000 RPC拒绝服务与本地权限提升漏洞，并提供了完整的测试代码（见附1）。

时间：2003-07-21 下午

微软实现了该漏洞，并发布该漏洞的公告：MS03-026：RPC接口任意代码可执行漏洞

时间：2003-07-22

微软发布了针对该漏洞的补丁程序

http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp

时间：2003-07-25 09:13  人物：flashsky

在国内的某著名论坛上发表了lsd rpc溢出全分析的文章，公布了实现rpc溢出漏洞的代码，并详细讲述了基本原理（全文见附2）。

时间：2003-07-25到2003-07-28

在该论坛上众路英雄纷纷对flashsky提供的代码进行了修改

时间：2003-8-2  发现：Worm.SdBotRPC “流言”病毒

利用RPC的漏洞攻击网络中的计算机，攻击成功后向远端系统上的RPC系统服务所监听的端口发送攻击代码，造成远端系统无法使用RPC服务或系统崩溃。

时间：2003-8-8　　发现：用VB编程语言编写的Worm.AutoRooter病毒

时间：2003-8-10　　发现了著名的冲击波（Worm.Blaster）病毒

时间：2003-08-15  美国媒体表态："冲击波"病毒涉嫌造成大停电

http://www.duba.net/c/2003/08/15/89250.shtml

时间：2003-08-18 出现了以虫制虫的良性蠕虫，我目前还不知道该病毒的名称，先借用网上的名称 蠕虫2004，该病毒同样通过RPC的漏洞攻击网络中的计算机，蠕虫感染系统后会自动清除系统中的冲击波病毒，然后根据系统语言版本是简体中文、繁体中文、韩文、英文以及系统是Windows 2000还是Windows XP分别到微软站点下载相应的MS03-026补丁，并能检测系统时间，如果系统时间是2004年，就自动清除自身。

时间：2003-8-20    人物：peipei

蠕虫2004作者在某著名论坛现身，并公布了原代码（见附件3），全文如下：

玩过了～～　虫虫四个小时之内已经完成了任务～～～不得不写这豆腐块～～～
char *szMe = "=========== I love my wife & baby :)~~~ Welcome Chian~~~
Notice: 2004 will remove myself:)~~ sorry zhongli~~~=========== wins";

偶：小地方小公司小小程序员
偶从不玩安全的，临时抱佛脚，看了些资料，仓促写了这个烂虫虫~~~

A 看不惯老外小鸟儿写的什么什么波的烂虫~~ ，虽然偶临时玩安全的即兴之作亦很烂
~~~
B 看不惯国内某几家放毒公司的商业炒作，发网难财，违背良心，误导民众
偶就帮你丫的除光了虫虫，打光了补丁，没想到他丫的误导的更变态~~~ 你丫的方脑壳
~~
C 帮偶不认识的 flashsky 兄解脱些吧~~~ 他丫的 Bill该死,快去谢flashsky~~~
D VirusBOy 兄，baby 可不是情人吆，偶家小子两岁就开始跟偶抢机器了~~
E 长了这么大,算首次报效社会吧~~~
F 几年？进去就是了，不就是个坐吗， 切~~~ 偶是吓大的!
0 chian 系 china 笔误~~ 敲的快了，某个指头先到:)~~~

1 早在 8/13 国际国内骨干路由就丢弃了 135 syn ,只有加入WebDav才玩得转~~~
2 RpcDcom & WebDav 使用同一 反向shellcode, 用 eyas的, lion修改
(声明：谁也没给偶，偶从一被人遗忘的公开程序中sniffer的,谢两位)
此shellcode 新进程建在svchost下，就一个Call Ebx 通杀了 all 2k & xp
他丫的，还有放毒公司言导致xp机器重启云云的~~~
3 Bill该死 有 Tftpd.exe, 干吗不用，虽然偶看过 Tftp 协议，练习写过~~~
4 某年某月某日某时某刻，
溜出国门，辗转借了几台 Xeon(TM) 4 cpus, 2g memory 机器
架起 2000 线程的 WebDav 投放玩具，对准某国骨干的几个B段
10 分钟内投放了三四百个种子(早知道有这么多，就换个玩法 :)~~~
5 发icmp包是为了提高搜索效率，算唯一的危害了~~~ 刺激一下也好~~~
打补丁的虫，杀虫的虫，再不有点儿小危害就丢尽了虫虫家族的脸~~~