病毒名称：I-Worm/Blaster

　　病毒别名：W32/Lovsan.worm [McAfee/Kaspersky], Win32.Poza [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda]

　　病毒中文名称：冲击波（公安部统一命名）

　　首次发现日期：2003年8月11日

　　病毒类型：网络蠕虫

　　病毒长度：6,176 字节

　　危险级别：高

　　影响平台：Microsoft Windows 2000 ，Microsoft Windows XP ，Microsoft Windows Server 2003 （Microsoft Windows NT 4.0 ，Microsoft Windows NT 4.0 Terminal Services Edition 也存在此漏洞）

　　病毒特征描述：病毒体采用UPX进行压缩处理。利用TCP 135端口，通过“RPC 接口中的缓冲区溢出可能允许执行代码 (823980) ”（DCOM RPC) 漏洞进行攻击。

　　在此病毒代码内隐藏一段文本信息：

　　I just want to say LOVE YOU SAN!!

　　billy gates why do you make this possible ? Stop making money and fix your software!!

　　故障现象：操作系统不断报“PRC意外中止，系统重新启动”（与图一类似），客户机频繁重启，所有网络服务均出现故障，如IE浏览器打不开，OUTLOOK无法使用等。由于RPC服务终止可能造成其他的一些问题（这些功能依赖于RPC服务），如：无法进行复制、粘贴；无法查看网络属性；My Pictures文件夹显示不正常（如图二）；计算机“服务”管理不正常；无法使用IE“在新窗口中打开”；金山词霸无法取词；无法添加删除程序等。

　　

　　 图一

　　

　　图二

　　病毒行为和传播方式：

　　1、病毒运行时会建立一个名为“BILLY”的互斥线程，当病毒检测到系统有该线程的话则不会重复驻入内存。病毒会在内存中建立一个名为“msblast”的进程。

　　2、病毒运行时会将自身复制为：%systemdir%\msblast.exe，%systemdir%指的是操作系统安装目录中的系统目录，Windows 2000/XP/2003默认为C:\Winnt\system32。

　　3、在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加名为

　　“windows auto update”的启动项目，值为“msblast.exe”，使得每次启动计算机时自动加载病毒。

　　4、感染病毒的计算机会尝试连接20个随机的IP地址，并且对有此漏洞的计算机进行攻击，然后该病毒会休息(sleep)1.8秒，然后扫描下20个随机的IP地址。病毒扫描IP地址（A.B.C.D，如：IP为192.168.0.1时，A=192 B=168 C=0 D=1）符合如下规则：[未结束]