震荡波电脑病毒丨专栏

编者按：网络空间安全近年来日渐成为公众关注的焦点，中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏。

一、谶曰——此“震荡波”非彼“震荡波”

大东：小白，你看什么呢，这么起劲。

小白：变形金刚啊，里面的震荡波好厉害啊。

震荡波（图片来源：百度图片）

大东：那你知不知道电脑病毒也有一个震荡波，也特别厉害。

小白：不知道啊，东哥，快给我讲讲呗。

二、话说事件——震荡波电脑病毒爆发

大东：震荡波电脑病毒于2004年4月30日爆发，短短的时间内就给全球造成了数千万美元的损失。

小白：那中了震荡波病毒电脑会有什么特征呢？

大东：电脑一旦中招就会莫名其妙地死机或重新启动计算机，而在纯 DOS 环境下执行病毒文件，则会显示出谴责美国大兵的英文语句。

电脑受到震荡波病毒的感染（图片来源：逍遥科技说）

小白：真是令人难忘的4月啊。

大东： Sasser（震荡波）LSASS 蠕虫病毒是一款使用 Visual C 语言编写的自身执行传播的病毒。

小白： C语言编写？

大东：是的，它主要针对 eEye 安全小组发现的 Microsoft LSA 缓冲区溢出漏洞进行攻击。

小白：这个病毒是有目的性的攻击？

大东：没错，Sasser 蠕虫所使用的攻击是溢出攻击代码，该攻击代码经测试是针对 Windows 2000 Professional，Windows 2000 Server 和 Windows XP Professional 等操作系统的英文和俄文版的操作系统。

小白：那也就意味着有些系统并不会感染震荡波病毒对吗？

大东：由于蠕虫使用的攻击代码本身的缺陷，它只能影响到 Windows XP 和一些特定版本的 Windows 2000 Professional。目前没有任何特征表明除了传播外该病毒还有什么其他破坏性（给受害系统带来副作用）。

小白：即使这样，这个病毒也带来了不少的损失啊。

大东：损失大概在上亿美元。由于环境不同，各种行业系统感染“震荡波”病毒以后表现也不同。在金融系统主要表现为服务器停止响应用户的账单申请。

小白：那就不能通过网络查询、办理业务了啊。

大东：电信和网络运营商可能因感染病毒使用户无法接入 Internet；个人用户会因电脑频繁启动、响应缓慢而无法正常工作。

小白：那对我们日常使用电脑和生活影响还是挺大的。

大东：不仅如此，该病毒会使 Windows 系统的“安全认证子系统”（LASS）崩溃，使与安全认证有关的程序出现严重运行错误；有些特殊行业用户还可能因系统意外停机而造成数据丢失或损毁，后果十分严重。

电脑受到震荡波病毒的感染（图片来源：百度文库）

大东：由于该病毒导致电脑频繁重新启动，不明原因的用户往往会怀疑是主板等硬件故障。

小白：那病毒是如何通过计算机传播的呢？

大东：不要着急，这就慢慢讲给你听。

三、大话始末

大东：病毒运行时会不停地利用 IP 扫描技术寻找网络上系统为 Win2K 或 XP 的计算机，找到后就利用 DCOM RPC 缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启，甚至导致系统崩溃。

小白：那我换一个系统不行吗？

大东：另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。

小白：好可怕。

大东：为了确保病毒体在系统重启能构再次被执行，一个新的病毒体 Sasser 会把他自己拷贝到当前操作系统的系统根目录（\WINDOWS或者\WINNT）并且在注册表中添加键值。

大东：在感染完成后如果该计算机已经被该病毒感染过，这个新感染的病毒体会通过一个名为 Jobaka3l 的互斥体检测到并立刻停止感染。

小白：如果是第一次受到感染呢？

大东：如果病毒实体是第一次感染该计算机，它将打开一个使用端口5554的 FTP 并且创建128个线程开始无限传播循环。

大东：传播过程中， Sasser 仅挑选随机的 IP 地址进行扫描和攻击。当感染了该网段的某台主机后，病毒会随机将尝试攻击的范围扩展到部分或者是整个网段。

小白：都是随机的？

大东：任何一次尝试中，大概有52%的机率IP地址是完全随机的，其中25%的机率IP地址的前16个字节将和本地IP相同。（最后8个字节随机），余下23%的机率是本地IP的前面8个字节将被使用（剩下的24个字节随机）。随机的8个字节将在0和254随机通过特殊的函数产生。

小白：如果成功连接到随机的 IP 地址那是不是就算感染成功了？

大东：蠕虫会尝试连接随机产生的IP地址的计算机系统 TCP 端口445，如果成功，病毒将发出一系列的数据包确认对方所运行的Windows系统版本。一旦操作系统的版本已经选定，Sasser 蠕虫将发送 LSA 攻击代码并且尝试连接 TCP 端口9996以获得命令行下的 shell。如果成功，病毒会在受害的计算机上执行如下命令去下载并且运行蠕虫的可执行文件。

小白：之前好像是有一个冲击波病毒，他们两个的名字好像啊，他们二者有什么关联呢？

大东：与 MSBlaster（冲击波）RPC DCOM 蠕虫相似，Sasser 使用了一个公开的 LSA 缓冲区溢出漏洞的攻击代码去攻击并试图获得受害主机的一个命令行下的 shell。

震荡波与冲击波的不同（图片来源：百度文库）

小白：那不同点呢？

大东：第一点不同是利用的漏洞不同。

小白：震荡波病毒利用的是系统的 LSASS 服务。

大东：对的，该服务是操作系统的使用的本地安全认证子系统服务。

小白：那冲击波利用的是什么漏洞呢？

大东：冲击波病毒利用的是系统的 RPC 漏洞，病毒攻击系统时会使 RPC 服务崩溃，该服务是 Windows 操作系统使用的一种远程过程调用协议。

小白：哦哦哦，了解了，那还有别的不同吗？

大东：两种电脑病毒产生的文件不同。

小白：结尾都是.exe文件吧。

大东：是的，但是冲击波病毒运行时会在内存中产生名为 msblast.exe 的进程，在系统目录中产生名为 msblast.exe 的病毒文件，震荡波病毒运行时会在内存中产生名为 avserve.exe 的进程，在系统目录中产生名为 avserve.exe 的病毒文件。

大东：而且他们两种病毒攻击的对象和入侵的端口也各不相同。

小白：区别不少啊。

大东：冲击波病毒攻击所有存在有 RPC 漏洞的电脑和微软升级网站，而震荡波病毒攻击的是所有存在有 LSASS 漏洞的电脑，但目前还未发现有攻击其它网站的现象。

小白：我听了刚才东哥的讲解，知道了震荡波病毒会本地开辟后门，听 TCP 的5554端口，然后做为 FTP 服务器等待远程控制命令，并疯狂地试探连接445端口。对吧？

大东：没错，而冲击波病毒会监听端口69，模拟出一个 TFTP 服务器，并启动一个攻击传播线程,不断地随机生成攻击地址，尝试用有 RPC 漏洞的135端口进行传播。

小白：那我们应该如何防范它呢？

四、小白内心说—— 对震荡波病毒的防范

小白：我们应该如何防范震荡波病毒的入侵呢？

大东：保护你的计算机。如果可能的话，为你的计算机安装一个防火墙，这样可以限制病毒的破坏程度，保证病毒被清除之后不再返回。Windows XP 就带有一个防火墙，可以通过微软网站进行安装（microsoft.com/security/protect ），网站上还告诉旧版 Windows 用户如何安装这一防火墙。此外，还可以从第三方公司获得防火墙，由于震荡波会对计算机的互联网接入产生影响，所以在安装防火墙之后你应该运行扫描程序，检查病毒是否已经回到了你的计算机中。

防火墙（图片来源：百度图片）

小白：还有什么措施吗？

大东：为了防止再度感染。安装其它一些安全补丁，保护你的计算机将来不受其它病毒的感染。注意不要过早地恢复你的 System Restore 功能，一定在确定没有感染病毒和计算机已经得到妥善保护之后再恢复。

小白：计算机病毒可以做其他程序所做的任何事，唯一的区别在于它将自己附加在另一个程序上，并且在宿主程序运行时秘密地执行。一旦病毒执行时，它可以完成任何功能，比如删除程序和文件等，其危害性极大。

大东：现在很多人还没有养成定期进行系统升级、维护的习惯，这也是很多人受病毒侵害感染率高的原因之一。只要培养了良好的预防病毒的意识，并充分发挥杀毒软件的防护能力，完全可以将大部分病毒拒之门外的。

五、那年那事——Facebook 的创立

大东：你知不知道2004年2月有一款著名的社交软件上市了？

小白：这个难不倒我，是 Facebook。

大东：可以啊。

大东： 2004年的2月4日，小有名气的哈佛大学生马克•扎克伯格发布了一款名为 the facebook 的小型社交网络。发展至今，Facebook 历经了重大的成长。今天，福布斯网站为我们总结了 Facebook 在过去十二年中所拥有的重大重新设计和新功能，具体如下：

Facebook早期界面（图片来源：牛华网）

大东：Facebook 原来的面貌就是下图所示这样的，在它拥有10亿用户之前，这个网站仅被提供给哈佛的学生访问。而随着时间的推进，Facebook 也变得越来越完善。

全球的 Windows 都蓝屏了？解读 CrowdStrike 安全事故

2024 年 7 月 19 日，全球各地网友突然发现他们的 Windows 电脑开始频繁出现蓝屏（BSOD）故障。当他们在社交媒体上吐槽时，更严重的危机也蔓延到了关键领域，包括但不限于零售、航空、金融、医疗等。比如，美国多家主要航空公司取消航班，银行和交易所停止服务。网络安全研究员 Troy Hunt 认为，这可能是史上最大规模的 IT 故障。

还记得上一次全球性 Windows 系统崩溃，还发生在震荡波/冲击波等蠕虫病毒肆虐的时代。在计算机网络安全已得到空前重视的今天，这次席卷全球的 Windows 蓝屏故障究竟是如何发生的呢？

一场由安全公司导致的全球 Windows 蓝屏宕机事件

尽管国内有些新闻媒体在事件刚开始的时候，将这次宕机事故简单描述为「Windows 系统蓝屏」，并将其归咎于使用了外国的 Windows 操作系统，但这种解释并不成立。经过简单分析，可以发现：

蓝屏宕机发生的同时，国内相关服务机构的终端设备也安装了 Windows 操作系统，但依旧正常运行并提供服务；国内虽然也有 Windows 电脑出现蓝屏宕机，但主要是外企的设备，国内大部分公司和个人电脑未受影响。

这些现象表明，导致这次全球 Windows 系统蓝屏宕机的罪魁祸首并非微软，而是另有其人。

随着网友、各个机构以及微软的介入，这场全球 Windows 系统宕机故障的原因逐渐清晰——宕机设备都安装了 CrowdStrike 公司的安全软件。CrowdStrike 的产品主要用于帮助企业防范勒索软件等黑客威胁，近年来业务扩展迅速，成为该领域的主要供应商。与传统防病毒软件相比，其产品属于「端点检测和响应」类软件，可以不断扫描设备上的可疑活动并自动做出响应。为了实现这种级别的防护，其组件需要作为驱动程序运行在内核级别，从而带来了造成操作系统故障的潜在风险。

那么你肯定会觉得疑惑，CrowdStrike 是如何让他们客户的 Windows 电脑全部蓝屏宕机的呢？

根据目前的最新情况来看，CrowdStrike 在安全配置文件上缺乏完善地测试，没有严格进行环境测试和代码审查，导致存在 Bug 的更新包未经过充分测试就被直接部署到生产环境；CrowdStrike 也缺乏应急回滚机制，在出现了蓝屏问题以后不能及时撤销新推送的安全配置文件；最后不少领域的机构用户没有冗余备份，单一节点故障就导致业务停摆。多个原因叠加就导致了这样不亚于蠕虫病毒攻击的大范围 IT 故障。

始作俑者 CrowdStrike

CrowdStrike 暴露的问题远不止 Windows 上的问题，今年四月 CrowdStrike 的一次安全更新导致部署其服务的 Debian Linux 和 Rocky Linux 服务器无法启动，经调查后发现是 CrowdStrike 与最新的 Debian 版本不兼容。

同时，CrowdStrike 在 Linux 事件故障响应上也备受批评，在故障发生一天后才承认故障本身，在后续更为漫长的调查后才发现问题在测试上——CrowdStrike 的测试系统矩阵中根本没有包含最新版 Debian Linux 的配置。

当时 Rocky Linux 论坛中的记录

而在深入挖掘 CrowdStrike 的发展史后，其实也不难发现，安全软件导致系统崩溃这件事上，其创始人可能是个「惯犯」。

CrowdStrike 成立于 2011 年，其创始人 George Kurtz 此前是计算机安全软件 McAfee 的首席技术官。在他任上，McAfee 也出过类似的事故——杀毒软件将 svchost.exe 识别成恶意程序从而错将其删除，最终导致大量的 Windows XP SP3 循环重启并无法上网。正是因为那次事故，导致很多 PC 用户至今仍认为给系统安装安全软件反而会电脑「不稳定」。

早些年 McAfee 的类似事故

George Kurtz 曾解释到，创建 CrowdStrike 的契机来源于一次坐航班时，隔壁乘客足足等了 15 分钟，才让 McAfee 软件在自己的笔记本电脑上完全启动。这让他觉得需要创办一家基于云的数据安全公司。

CrowdStrike 主要面向企业提供基于云的一揽子企业安全解决方案。这次导致大面积 Windows 蓝屏宕机的是旗下名为 Falcon 的工具，该工具通过识别异常行为和漏洞来保护计算机系统免受恶意软件等威胁。CrowdStrike 表示自 2011 年成立以来，CrowdStrike 已帮助调查了多起重大网络攻击，并称拥有「最快的平均时间」来检测威胁。

如何正确的看待本次事件

2024 年 7 月 20 日，微软和 CrowdStrike 公布了最新的调查结果和解决方案。微软确定了一个影响 Windows 设备运行的 CrowdStrike Falcon 问题，包括蓝屏错误信息 0x50 和 0x7E，设备会处于反复重启状态。

微软也在第一时间发布了相关内容

想要解决这个问题，IT 工程师需要重启并进入安全模式，删除相关目录下名为 C-00000291*.sys 的文件，再次重启系统即可恢复正常。由于宕机导致设备无法远程访问，这样的恢复操作只能由 IT 工程师在线下手动进行。不过，云服务器中的 Windows 电脑没有安全模式，IT 工程师需要挨个手动连接到虚拟硬盘再删除。

与此同时，CrowdStrike 也将更新回滚，避免重现故障，至此这次事件暂时告一段落。微软提供了专门的修复工具，辅助 IT 工程师通过 Windows PE 环境，自动删除有问题的 CrowdStrike 文件来让机器正常启动；CrowdStrike 则提供了一份新的帮助文档，来辅助 IT 工程师修复电脑；CrowdStrike 还提醒道，有新的恶意程序在以「crowdstrike-hotfix.zip」（crowdstrike 问题修复补丁）的名义在互联网上传播。

虽然事件暂时告一段落，但我们需要客观和理性地看待这次事件。在事件刚发生时，很多媒体在没有彻底了解事情缘由的情况下，断然认为这是因为微软 Windows 操作系统本身存在问题，并借机无脑炒作，使得本来单纯的事件复杂化。

在隐私模式下用关键词搜索这次事件时，不少「流量党」借机炒作

事实上，始作俑者 CrowdStrike 主要面向企业提供服务，因此受到影响的主要是企业用户，对于一般用户几乎没有影响。微软估计，受到此次蓝屏宕机事件影响的 Windows 电脑可能有 850 万台大概占总数的 1%。

由于受影响的主要是服务业等「窗口行业」，在舆论传播时，故障的严重程度被无形放大。国内大多数的 Windows 用户都平安无事，没有使用 CrowdStrike 的企业电脑也没有受到影响。因此，单就 Windows 操作系统本身而言，依旧是可靠且值得信赖的。

这次事件确实对安全厂商的形象造成了一定损害，CrowdStrike 在软件开发和测试过程中存在的重大漏洞是导致此次全球 Windows 蓝屏宕机的根源。提醒安全厂商需要在频繁的安全更新与充分的测试之间需要找到一个平衡点，在增强安全同时，减少风险和不确定性。

这次事件后，CrowdStrike 作为安全软件的侵入性也被不少人所诟病，突显了高权限防病毒和 EDR（端点检测与响应）解决方案的潜在风险和不足。有网友认为：「为了避免类似问题的再次发生，重新设计防病毒和 EDR 解决方案，降低其对高权限的依赖，显得尤为重要」。

当下，设计防病毒更成熟的解决方案则是采用 eBPF。eBPF 是一个内核里的虚拟机，允许开发者在不修改内核源代码或加载内核模块的情况下，在内核中安全地运行用户定义的代码。

这个特性使得 eBPF 成为一个强大的监控和过滤工具，基于 eBPF 的工具也不会让内核崩溃。目前微软正在全力开发 Windows 版本的 eBPF，相信未来 Windows 上安全软件也可以移植到 eBPF 上，更安全的同时也能显著减少这次蓝屏事件的发生。

当然，我们一般用户也不能因为此次事件就「一朝被蛇咬，十年怕井绳」，让自己的电脑「裸奔」。毕竟此次 Windows 大面积蓝屏宕机只是偶发事件，且主要影响的是企业客户。但如果因为没有安装安全软件或者关闭安全软件而导致个人资料被加密勒索或泄漏，得不偿失。

震荡波专杀工具震荡波电脑病毒丨专栏

分类：软件分类日期：2025-01-19 浏览：23 评论：0

震荡波电脑病毒丨专栏

全球的 Windows 都蓝屏了？解读 CrowdStrike 安全事故

一场由安全公司导致的全球 Windows 蓝屏宕机事件

始作俑者 CrowdStrike

如何正确的看待本次事件

相关推荐

震荡波专杀工具 震荡波电脑病毒丨专栏

分类：软件分类 日期：2025-01-19 浏览：23 评论：0

震荡波电脑病毒丨专栏

全球的 Windows 都蓝屏了？解读 CrowdStrike 安全事故

一场由安全公司导致的全球 Windows 蓝屏宕机事件

始作俑者 CrowdStrike

如何正确的看待本次事件

相关推荐

震荡波专杀工具震荡波电脑病毒丨专栏

分类：软件分类日期：2025-01-19 浏览：23 评论：0