本题考查W32.Blaster.Worm蠕虫的相关知识。
W32.Blaster.Worm是一种利用DCOMRPC漏洞进行传播的网络蠕虫,其传播能力很强。感染蠕虫的计算机系统运行不稳定,系统会不断重启。并且该蠕虫还将对windowsupdate.com进行拒绝服务攻击,使得受害用户不能及时地得到这个漏洞的补丁。当W32.Blaster.Worm运行时,会进行以下操作。
(1)创建一个名为BILLY的互斥体。如果这个互斥体存在,蠕虫将放弃感染并退出。
(2)在注册表中添加下列键值:"windows auto update"="msblast.exe",并且将其添加至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,这样就可以使蠕虫在系统被重起的时候能够自动运行。
(3)蠕虫生成攻击IP地址列表,尝试去感染列表中的计算机,蠕虫对有DCOM RPC 漏洞的机器发起TCP135端口的连接,进行感染。
(4)在TCP4444端口绑定一个cmd.exe的后门。
(5)在UDPport 69口上进行监听。如果收到了一个请求,将把Msblast.exe发送给目标机器。
(6)发送命令给远端的机器使它回联已经受到感染的机器并下载Msblast.exe。
(7)检查当前日期及月份,若当前日期为16日或以后,或当前月份处在9月到12月之间,则W32.Blaster.Worm 蠕虫将对windowsupdate.com发动TCP同步风暴拒绝服务攻击。
综上所述,本题选A。
