1. 现在网上“黑屏冲击波”病毒正在快速传播
    2. 中毒后，你的电脑会出现倒计时关机等症状
    3. 它的首选目标是为防范黑屏而关闭自动更新的电脑
    4. 它利用MS08-067漏洞进行传播
    5. 黑客利用MS08-067批量溢出工具进行疯狂攻击
    6. 如何清除病毒解以及修补漏洞

　　在微软推出黑屏计划几天后，网上出现了名为“黑屏冲击波”的病毒（Win32.Troj.Unknown.z.397312），从它的命名中就知道跟黑屏有关。没错，如果你为了避免黑屏，将系统的自动升级功能关闭了，没有及时修改系统的安全补丁，那你就算它的目标了。

　　也许你要问：冲击波是很老的病毒了，怎么可能还有效？虽然都可以导致出现倒计时关机，但此冲击波病毒可不是2003年的冲击波病毒，它利用的是最新曝出的MS08-067漏洞进行感染的，如果你的电脑没有打上相应补丁，该病毒就能发作。中了该病毒的电脑会有以下四个特征：第一，出现倒计时关机的提示框。第二，系统运行越来越缓慢。第三，电脑鼠标被控制。第四，各种账号和密码被盗。

　　如果你的电脑出现以上特征，那就非常不幸，你中了“黑屏冲击波”病毒。如果你没有中该病毒，也别先忙着庆幸，你的电脑还没有完全摆脱黑客的“魔手”，知道为什么吗？因为问题的关键是在MS08-067漏洞上，不用病毒，黑客还可以用攻击程序直接入侵，一旦让黑客成功入侵电脑，你的账号和密码就会被盗。

　　目前相关的黑客工具正各大黑客网站上快速地传播，有不是黑客利用这些工具大肆进行破坏，危险不言而喻了。图1就是某位黑客利用相关工具批量溢出的“成果”，一次就成功入侵的数十台没有打上补丁的电脑，现在是不是有种不寒而栗的感觉了？那该漏洞又是怎么产生的？黑客又是如何利用该漏洞直接入侵的？

        远程调用溢出是祸因

　　这次微软曝出的MS08-067漏洞，威胁性相当巨大。黑客利用该漏洞，可以远程发起攻击，让你的电脑时不时的就出现倒计时关机（如果你关闭了自动更新），令人烦不胜烦。此外，木马也可以利用该漏洞进行传播，试图盗窃用户的各种账号和密码——这样的病毒已经出现了。

　　该漏洞是因为RPC协议存在溢出缺陷导致的，这与当年肆虐网络的冲击波病毒非常相似。远程过程调用（Remote Procedure Call，RPC）是一个计算机通信协议。该协议允许运行于一台计算机的程序调用另一台计算机的子程序，而程序员无需额外地为这个交互作用编程。

　　小知识：有关RPC的想法至少可以追溯到1976年以“信使报”（Courier）的名义使用。RPC首次在UNIX平台上普及的执行工具程序是SUN公司的RPC（现在叫ONC RPC）。它被用作SUN的NFC的主要部件。ONC RPC今天仍在服务器上被广泛使用。 另一个早期UNIX平台的工具是“阿波罗”计算机网络计算系统（NCS），它很快就用做OSF的分布计算环境（DCE）中的DCE/RPC的基础，并补充了DCOM。

　　MS08-067漏洞在微软推出补丁后没有多久，就有国外黑客组织公布了漏洞利用工具PoC版本，可能是开发过于匆忙，这个程序本身存在瑕疵，无法成功利用，所以该工具没有流传开来。

　　之后，网上出现了可以成功网络攻击的Exp版本，这无疑将是没有打补丁电脑的噩梦。而这场噩梦究竟有多恐怖哪？接下来我们就为大家实战演示MS08-067漏洞入侵的全部过程。发动进攻主机：Windows XP SP3，被攻击目标主机：Windows Server 2003（IP地址：192.168.3.76）

　　第一步：首先准备好MS08-067漏洞的Exp攻击程序，我们本次测试所使用的就是从互联网公开渠道下载的Exp程序。程序下载后解压缩放置到自己制定的文件夹中。

　　准备好攻击测试程序后，点击开始菜单中的“控制面板”，然后双击打开“管理工具”中的“服务”选项。在打开的“服务”窗口列表中，将Server服务、Computer Browser服务、Workstation服务全部启动。如果不将这三项服务启动，攻击程序将无法正常发动攻击。

　　第二步：服务开启完成后，依次点击“开始菜单”中的“所有程序”，在弹出的菜单列表中单击“附件”中的“命令提示符”程序，点开之后进入到Exp程序所在目录。然后输入攻击指令。攻击指令相当简单，只需要输入Exp程序名称，然后输入打算攻击的目标主机IP地址即可。以我们的测试环境中的例子为：“MS08067exp.exe 192.168.3.76”输入后回车，此时屏幕如果显示：“SMB Connect OK!Maybe Patched!”则表示Exp程序溢出成功。

 
    
    第三步：在进攻主机中打开系统安全管理工具“Atools”，然后点击左方菜单“基本工具”中的“端口管理”，检查本机系统中是否开启了一个端口好为“840”的端口。如果系统显示已经开启，则表示已经成功的监听并连接到了被攻击的目标计算机。
    
   

 
    
    第四步：在确定成功溢出目标主机并开启监听端口之后，我们在进攻主机的CMD命令提示符窗口中输入“Telnet 192.168.3.76 4444”回车之后，就成功连接进入到了被攻击的目标主机。连接进入目标主机后，在CMD命令提示符窗口继续输入“net user antiy test /add”命令，此命令将会在目标主机的系统中添加一个用户名为antiy，密码为test的用户。命令成功完成后，再次输入“net localgroup administrators antiy /add”命令，