名稱
相關介紹
紅色代碼 (Code Red,2001年)該病毒能夠迅速傳播,並造成大範圍的訪問速度下降甚至阻斷。這種病毒一般首先攻擊計算機網路的伺服器,遭到攻擊的伺服器會按照病毒的指令向政府網站傳送大量數據,最終導致網站癱瘓。其造成的破壞主要是塗改網頁,有跡象表明,這種蠕蟲有修改檔案的能力。2001年7月13日爆發,給全球帶來26億美元損失。紅色代碼II
病毒名稱:紅色代碼II(CodeRedII)
別名:CODERED.C, CODERED, HBC, W32/CodeRed.C, CodeRedIII, CodeRed III, Code Red II
病毒特點:
該病毒利用IIS的緩衝區溢出漏洞,通過TCP的80連線埠傳播,並且該病毒變種在感染系統後會釋放出黑客程式。它的技術特性如下:
一、攻擊的目標系統:
1、安裝Indexing services 和IIS 4.0 或IIS 5.0的Windows 2000系統
2、安裝Index Server 2.0和IIS 4.0 或IIS 5.0的Microsoft Windows NT 4.0系統
二、如何判定遭受“紅色代碼II”病毒攻擊
1、在WINNT\SYSTEM32\LOGFILES\W3SVC1目錄下的日誌檔案中是否含有以下內容
GET,/default.ida,
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a,
如果發現這些內容,那么該系統已經遭受“紅色代碼II”的攻擊。
2、使用命令netstat –a
如果在1025以上連線埠出現很多SYN-SENT連線請求,或者1025號以上的大量連線埠處於Listening狀態,那么該系統已經遭受“紅色代碼II”病毒的感染。
3、如果在以下目錄中存在Root.exe檔案,說明系統已被感染。
C:\inetpub\Scripts\Root.exe
D:\inetpub\Scripts\Root.exe
C:\progra~1\Common~1\System\MSADC\Root.exe
D:\Progra~1\Common~1\System\MSADC\Root.exe
同時,“紅色代碼II”還會釋放出以下兩個檔案C:\Explorer.exe or D:\Explorer.exe。這兩個檔案都是木馬程式。
4、由於遭受“紅色代碼II”病毒的攻擊,NT伺服器中的Web服務和Ftp服務會異常中止。
解決方案
1、請到以下微軟站點下載補丁程式:
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
2、斷掉網路重新啟動系統,防止病毒通過網路再次感染。
3、安裝微軟補丁程式。
4、刪除以下病毒釋放的木馬程式
C:\inetpub\Scripts\Root.exe
D:\inetpub\Scripts\Root.exe
C:\progra~1\Common~1\System\MSADC\Root.exe
D:\Progra~1\Common~1\System\MSADC\Root.exe
使用以下命令刪除以下檔案:
ATTRIB C:\EXPLORER.EXE -H -A -R
DEL C:\EXPLORER.EXE
ATTRIB D:\EXPLORER.EXE -H -A -R
DEL D:\EXPLORER.EXE
5、將以下鍵值改為0
HKLM\SOFTWARE\Microsoft\WindowsNT\Current Version\WinL紅色代碼II
電腦病毒
感染方式
“紅色代碼”蠕蟲是通過微軟公司IIS系統漏洞進行感染,它使IIS服務程式處理請求數據包時溢出,導致把此“數據包”當作代碼運行,蠕蟲駐留後再次通過此漏洞感染其它伺服器。
“紅色代碼”蠕蟲採用了一種叫做"快取區溢出"的黑客技術,利用網路上使用微軟IIS系統的伺服器來進行蠕蟲傳播。這個蠕蟲使用伺服器的連線埠80進行傳播,而這個連線埠正是Web伺服器與瀏覽器進行信息交流的渠道。
與其它病毒不同的是,“紅色代碼”蠕蟲不同於以往的檔案型病毒和引導型病毒,並不將有害代碼寫入被攻擊伺服器的硬碟。它只存在於記憶體,傳染時不通過檔案這一常規載體,而是藉助這個伺服器的網路連線攻擊其它的伺服器,直接從一台電腦記憶體傳到另一台電腦記憶體。當本地IIS服務程式收到某個來自“紅色代碼”傳送的請求數據包時,由於存在漏洞,導致處理函式的堆疊溢出。當函式返回時,原返回地址已被蠕蟲數據包覆蓋,程式運行線跑到有蠕蟲的數據包中,此時蠕蟲被激活,並運行在IIS服務程式的堆疊中。
“紅色代碼II”蠕蟲代碼首先會判斷記憶體中是否以註冊了一個名為CodeRedII的Atom(系統用於對象識別),如果已存在此對象,表示此機器已被感染,蠕蟲進入無限休眠狀態,未感染則註冊Atom並創建300個惡意執行緒,當判斷到系統默認的語言ID是中華人民共和國或中國台灣時,執行緒數猛增到600個,創建完畢後初始化蠕蟲體內的一個隨機數生成器(RundomNumberGenerator),此生成器隨機產生IP位址讓被蠕蟲去發現這些IP位址對應的機器的漏洞並感染之。每個蠕蟲執行緒每100毫秒就會向一隨機地址的80連線埠傳送一長度為3818位元組的病毒傳染數據包。巨大的蠕蟲數據包使網路陷於癱瘓。
“紅色代碼II”蠕蟲體內還包含一個木馬程式,這意味著計算機黑客可以對受到入侵的計算機實施全程遙控,並使得“紅色代碼II”擁有前身無法比擬的可擴充性,只要蠕蟲作者願意,隨時可更換此程式來達到不同的目的。
解決方案
在以往傳統的網路信息安全保護體系中,要清除網路體系內的蠕蟲和黑客程式,必須採用在網路出口處設定防火牆或入侵檢測軟體,通過日誌或流量異常定位網路蠕蟲的存在,再使用反病毒軟體進行清除,這樣的做法不僅成本高昂,而且操作複雜,是一種被動式的查殺方法。
瑞星提供的瑞星防毒軟體網路版+微軟補丁程式是徹底解決“紅色代碼”類病毒的最佳方法。最新的瑞星防毒軟體網路版已增加自動探測計算機是否存在微軟IIS安全漏洞的功能,變“被動查殺”為“主動防殺”,大大節省了系統管理員的勞動強度和軟體使用難度。
利用瑞星防毒軟體網路版獨有的“全網防毒”功能,系統管理員可以通過瑞星移動控制台,只需幾分鐘,不僅可殺滅全網範圍內的“紅色代碼”病毒,同時還可準確了解網路中存在IIS安全漏洞的所有計算機。只要對這些存在IIS安全漏洞的計算機安裝微軟補丁程式,就可防範“紅色代碼”類病毒再次攻擊,徹底與“紅色代碼”告別。
有關“紅色代碼”病毒及其變種的具體查殺方法,請參考瑞星公司網站,我們已提供全面的解決方案;如果遇到技術方面的障礙,瑞星的技術服務部門安排有24小時800免費電話,集團用戶可以提供shangmenfuwu。
電影簡介
紅色代碼