簡介
病毒名稱:Codered.F病毒類型:蠕蟲
受感染的系統:
病毒的攻擊的對象為安裝了IIS的Windows NT/2000系統,並且僅僅影響沒有打微軟的MS01-033補丁的IIS伺服器。
病毒詳細技術分析
CodeRed.F利用微軟IIS遠程緩衝區溢出漏洞獲取系統許可權實施攻擊,並在這個被感染的Web伺服器上安裝一個後門程式,使得攻擊者對被感染系統具有完全的訪問許可權,因此,一旦遭受感染,網路安全就會受到嚴重威脅。CodeRed.F通過IIS伺服器的idq緩衝區溢出漏洞在WEB伺服器上安裝並繁衍,只有沒有安裝最後的IIS service pack的系統才會受影響。
當WEB伺服器受感染後,蠕蟲將執行下面操作:
1、調用初始化程式,在IIS Server服務進程空間中找到Kernel32.dll的基地址;
2、接著查找GetProcAddress的地址;
3、調用GetProcAddress,並訪問其他API的地址,包括:LoadLibrayA、CreateThread、GetSystemTime等
然後蠕蟲載入ws2_32.dll並調用相關的TCP/IP函式,比如socket等,在從User32.dll中調用ExitWindowsEx函式以便重新啟動系統。
蠕蟲的主執行緒檢查兩個標識
1、"29A",這個用來控制隨蠕蟲的後門木馬的安裝;2、另一個是"CodeRedll",如果該信號存在,那么蠕蟲將進入無限制的休眠。
蠕蟲的主執行緒還會檢查系統的默認語言,如果默認語言是中文(Taiwan或者PRC),就會創建600個新的掃描執行緒,否則就創建300個掃描執行緒,這些執行緒根據隨機產生的IP位址掃描新的主機,並試圖感染。在這些掃描執行緒創建時,蠕蟲的主執行緒複製Cmd.exe到下面的地方:
C:\Inetpub\Scripts\Root.exe
D:\Inetpub\Scripts\Root.exe
C:\Progra~1\Common~1\System\MSADC\Root.exe
D:\Progra~1\Common~1\System\MSADC\Root.exe
蠕蟲在主機中安裝的後門會在註冊表中添加下面內容:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
通過該修改,並將用戶組設定為217,那么黑客就可以通過WEB伺服器用HTTP的GET請求在伺服器上執行scripts/root.exe 程式。
蠕蟲的主執行緒會在中文系統上休眠48小時,而其他系統則休眠24小時。而那些掃描執行緒仍然繼續運行,並試圖去感染其他主機。當蠕蟲的主執行緒重新甦醒的時候,會重新啟動主機。同時,所有的執行緒會檢查是否是十月或者以後,以及年份是否大於34951,如果是,那么系統就被重新啟動。
該蠕蟲複製的cmd.exe程式到IIS的默認可執行目錄下,那么就允許進行遠程控制。同時它也會設定C:\Explorer.exe和D:\Explorer.exe屬性為隱藏、系統檔案和唯讀檔案。
主機被感染24或者48小時後,系統會被重新啟動,相同的主機可能被重複感染,除非安裝了最新的補丁。如果月份是十月或者以後,以及年份是否大於34951,那么系統也會被重新啟動。當系統重新啟動後,木馬就在系統執行Explorer.exe的時候運行起來。C:\Explorer.exe木馬先休眠幾分鐘,然後重新設定鍵值並確認。
注意:當重新啟動後,記憶體中原本駐留的蠕蟲就不存在了,那么它將不會重新去感染其他主機,除非該主機又被重新感染。
木馬會修改註冊表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
並將SFCDisable設定為0xFFFFFF9D.
這個修改會禁止系統檔案檢查保護(SFC)
注意:如果在運行Microsoft FrontPage 或者其他WEB編輯程式,IIS可能會被重新安裝。
蠕蟲手工解決辦法
殺掉木馬的進程
在進程管理器中,可以看見兩個Exploere.exe進程,其中一個是合法的,另一個則是木馬進程。要確認哪個是木馬進程,請在查看——選擇列中選擇上執行緒數。這時你可以看見只有1個執行緒的Exploere.exe進程,這個就是木馬的進程。請終止該進程的運行。刪除Exploere.exe檔案
這些檔案有隱藏、系統檔案和唯讀檔案屬性。請運行cmd.exe,並執行下面的命令:cd c:\
attrib -h -s -r explorer.exe
del explorer.exe
cd d:\
attrib -h -s -r explorer.exe
del explorer.exe
刪除下面的檔案(可能存在)
C:\Inetpub\Scripts\Root.exeD:\Inetpub\Scripts\Root.exe
C:\Progra~1\Common~1\System\MSADC\Root.exe
D:\Progra~1\Common~1\System\MSADC\Root.exe
刪除驅動器根的虛擬目錄
在IIS管理器中,刪除C、D或者其他驅動器根的虛擬目錄刪除註冊表的相關項
在註冊表的下面位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
刪除其中的鍵為/C和/D的內容,雙擊/MSADC和/Scripts,刪除其中的數字217,並修改為201。
在註冊表的下面位置:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
雙擊鍵SFCDisable,修改其中的內容為0。
重新啟動系統
清除記憶體中的蠕蟲。解決方案
為避免被蠕蟲感染,請用戶到以下連結下載微軟針對該漏洞的安全補丁:MS01-033 patch
MS01-044patch
註:微軟的Service Pack 3已經包含了該補丁。
附蠕蟲HTTP請求對ida的GET溢出請求(蠕蟲後面的內容禁止):
Content-length: 3379
47 45 54 20 2f 64 65 66 61 75 6c 74 2e 69 64 61 3f 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25 75 39 30 39 30 25 75 38 31 39 30 25 75 30 30 63 33 25 75 30 30 30 33 25 75 38 62 30 30 25 75 35 33 31 62 25 75 35 33 66 66 25 75 30 30 37 38 25 75 30 30 30 30 25 75 30 30 3d 61 20 20 48 54 54 50 2f 31 2e 30 0d 0a
即:GET /default.ida?XXXXXXXXXXXXXXXXXXXXX……
