沖擊波病毒是利用在2003年7月21日公布的RPC漏洞進(jìn)行傳播的，該病毒于當(dāng)年8月爆發(fā)。病毒運(yùn)行時(shí)會(huì)不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Win2000或XP的計(jì)算機(jī)，找到后就利用DCOM/RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會(huì)被傳送到對(duì)方計(jì)算機(jī)中進(jìn)行感染，使系統(tǒng)操作異常、不停重啟、甚至導(dǎo)致系統(tǒng)奔潰。另外，該病毒還會(huì)對(duì)系統(tǒng)升級(jí)網(wǎng)站進(jìn)行拒絕服務(wù)攻擊，導(dǎo)致該網(wǎng)站堵塞，使用戶(hù)無(wú)法通過(guò)該網(wǎng)站升級(jí)系統(tǒng)。只要是計(jì)算機(jī)上有RPC服務(wù)并且沒(méi)有打安全補(bǔ)丁的計(jì)算機(jī)都存在有RPC漏洞，具體涉及的操作系統(tǒng)是：Win

2003年7月16日，發(fā)布了“RPC接口中的緩沖區(qū)溢出”的漏洞補(bǔ)丁。該漏洞存在于RPC 中處理通過(guò)TCP/IP的消息交換的部分，攻擊者通過(guò)TCP135端口，向遠(yuǎn)程計(jì)算機(jī)發(fā)送特殊形式的請(qǐng)求，允許攻擊者在目標(biāo)機(jī)器上獲得完全的權(quán)限并以執(zhí)行任意代碼。

該病毒充分利用了RPC/DCOM漏洞，首先使受攻擊的計(jì)算機(jī)遠(yuǎn)程執(zhí)行了病毒代碼；其次使RPCSS服務(wù)停止響應(yīng)，PRC意外中止，從而產(chǎn)生由于PRC中止導(dǎo)致的一系列連鎖反應(yīng)。針對(duì)RPC/DCOM漏洞所編寫(xiě)的病毒代碼構(gòu)成了整個(gè)病毒代碼中產(chǎn)生破壞作用的最重要的部分。

通過(guò)對(duì)沖擊波病毒的整個(gè)工作流程進(jìn)行分析，可以歸納得到病毒的行為特征：

1.主動(dòng)攻擊：蠕蟲(chóng)在本質(zhì)上已經(jīng)演變?yōu)楹诳腿肭值淖詣?dòng)化工具，當(dāng)蠕蟲(chóng)被釋放（release）后，從搜索漏洞，到利用搜索結(jié)果攻擊系統(tǒng)，到復(fù)制副本，整個(gè)流程全由蠕蟲(chóng)自身主動(dòng)完成。

2.利用系統(tǒng)、網(wǎng)絡(luò)應(yīng)用服務(wù)漏洞：計(jì)算機(jī)系統(tǒng)存在漏洞是蠕蟲(chóng)傳播的前提，利用這些漏洞，蠕蟲(chóng)獲得被攻擊的計(jì)算機(jī)系統(tǒng)的相應(yīng)權(quán)限，完成后繼的復(fù)制和傳播過(guò)程。正是由于漏洞產(chǎn)生原因的復(fù)雜性，導(dǎo)致面對(duì)蠕蟲(chóng)的攻擊防不勝防。

3.造成網(wǎng)絡(luò)擁塞：蠕蟲(chóng)進(jìn)行傳播的第一步就是找到網(wǎng)絡(luò)上其它存在漏洞的計(jì)算機(jī)系統(tǒng)，這需要通過(guò)大面積的搜索來(lái)完成，搜索動(dòng)作包括：判斷其它計(jì)算機(jī)是否存在；判斷特定應(yīng)用服務(wù)是否存在；判斷漏洞是否存在。這不可避免的會(huì)產(chǎn)生附加的網(wǎng)絡(luò)數(shù)據(jù)流量。即使是不包含破壞系統(tǒng)正常工作的惡意代碼的蠕蟲(chóng)，也會(huì)因?yàn)椴《井a(chǎn)生了巨量的網(wǎng)絡(luò)流量，導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓，造成經(jīng)濟(jì)損失。

4.反復(fù)性：即使清除了蠕蟲(chóng)在文件系統(tǒng)中留下的任何痕跡，如果沒(méi)有修補(bǔ)計(jì)算機(jī)系統(tǒng)漏洞，重新接入到網(wǎng)絡(luò)中的計(jì)算機(jī)還是會(huì)被重新感染。

5.破壞性：從蠕蟲(chóng)的歷史發(fā)展過(guò)程可以看到，越來(lái)越多的蠕蟲(chóng)開(kāi)始包含惡意代碼，破壞被攻擊的計(jì)算機(jī)系統(tǒng)，而且造成的經(jīng)濟(jì)損失數(shù)目越來(lái)越大。