沖擊波病毒是利用在2003年7月21日公布的RPC漏洞進行傳播的，該病毒于當年8月爆發(fā)。病毒運行時會不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Win2000或XP的計算機，找到后就利用DCOM/RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會被傳送到對方計算機中進行感染，使系統(tǒng)操作異常、不停重啟、甚至導致系統(tǒng)奔潰。另外，該病毒還會對系統(tǒng)升級網(wǎng)站進行拒絕服務(wù)攻擊，導致該網(wǎng)站堵塞，使用戶無法通過該網(wǎng)站升級系統(tǒng)。只要是計算機上有RPC服務(wù)并且沒有打安全補丁的計算機都存在有RPC漏洞，具體涉及的操作系統(tǒng)是：Win

2003年7月16日，發(fā)布了“RPC接口中的緩沖區(qū)溢出”的漏洞補丁。該漏洞存在于RPC 中處理通過TCP/IP的消息交換的部分，攻擊者通過TCP135端口，向遠程計算機發(fā)送特殊形式的請求，允許攻擊者在目標機器上獲得完全的權(quán)限并以執(zhí)行任意代碼。

該病毒充分利用了RPC/DCOM漏洞，首先使受攻擊的計算機遠程執(zhí)行了病毒代碼；其次使RPCSS服務(wù)停止響應，PRC意外中止，從而產(chǎn)生由于PRC中止導致的一系列連鎖反應。針對RPC/DCOM漏洞所編寫的病毒代碼構(gòu)成了整個病毒代碼中產(chǎn)生破壞作用的最重要的部分。

通過對沖擊波病毒的整個工作流程進行分析，可以歸納得到病毒的行為特征：

1.主動攻擊：蠕蟲在本質(zhì)上已經(jīng)演變?yōu)楹诳腿肭值淖詣踊�工具，當蠕蟲被釋放（release）后，從搜索漏洞，到利用搜索結(jié)果攻擊系統(tǒng)，到復制副本，整個流程全由蠕蟲自身主動完成。

2.利用系統(tǒng)、網(wǎng)絡(luò)應用服務(wù)漏洞：計算機系統(tǒng)存在漏洞是蠕蟲傳播的前提，利用這些漏洞，蠕蟲獲得被攻擊的計算機系統(tǒng)的相應權(quán)限，完成后繼的復制和傳播過程。正是由于漏洞產(chǎn)生原因的復雜性，導致面對蠕蟲的攻擊防不勝防。

3.造成網(wǎng)絡(luò)擁塞：蠕蟲進行傳播的第一步就是找到網(wǎng)絡(luò)上其它存在漏洞的計算機系統(tǒng)，這需要通過大面積的搜索來完成，搜索動作包括：判斷其它計算機是否存在；判斷特定應用服務(wù)是否存在；判斷漏洞是否存在。這不可避免的會產(chǎn)生附加的網(wǎng)絡(luò)數(shù)據(jù)流量。即使是不包含破壞系統(tǒng)正常工作的惡意代碼的蠕蟲，也會因為病毒產(chǎn)生了巨量的網(wǎng)絡(luò)流量，導致整個網(wǎng)絡(luò)癱瘓，造成經(jīng)濟損失。

4.反復性：即使清除了蠕蟲在文件系統(tǒng)中留下的任何痕跡，如果沒有修補計算機系統(tǒng)漏洞，重新接入到網(wǎng)絡(luò)中的計算機還是會被重新感染。

5.破壞性：從蠕蟲的歷史發(fā)展過程可以看到，越來越多的蠕蟲開始包含惡意代碼，破壞被攻擊的計算機系統(tǒng)，而且造成的經(jīng)濟損失數(shù)目越來越大。