簡介
發現: 2001 年 8 月 4 日
更新: 2007 年 2 月 13 日 11:45:22 AM
別名: CodeRed.v3, CodeRed.C, CodeRed III, W32.Bady.C, CodeRed.F
類型: Trojan horse, Worm
受感染的系統: Microsoft IIS
CVE 參考: CVE-2001-0500 CVE-2001-0506
由於報告數量的減少,該蠕蟲的威脅級別從 4 下降到 3。
CodeRed II(紅色代碼 Ⅱ)發現於 2001 年 8 月 4 日。由於它同樣利用“緩衝區溢出”漏洞傳播到其他 Web 伺服器,因此被稱為原始 CodeRed 蠕蟲的變種。Symantec 病毒防治研究中心 (SARC) 已收到大量 IIS Web 伺服器受感染的報告。CodeRed II 被認為具有較高的威脅性。
有關檢測和殺除原始 CodeRed 蠕蟲以及 Symantec 的其他產品會如何為您提供防護的信息,請參閱文檔:CodeRed 蠕蟲的“其他信息”部分。
有關如何充分利用 Symantec 技術抗擊 CodeRed 威脅的信息,請單擊此處。
原始的 CodeRed 具有一個有效負載,可以對白宮 Web 伺服器進行“拒絕服務”攻擊。CodeRed II 具有不同的有效負載,允許黑客對 Web 伺服器擁有完全遠程訪問許可權。
SARC 已經創建了一套工具以對計算機進行防漏洞性評估,該工具還可以殺除 CodeRed 蠕蟲和 CodeRed II。要想獲得該 CodeRed 防毒工具,請單擊此處。
如果運行的是 Microsoft IIS 伺服器,強烈建議套用最新的 Microsoft 修補程式來保護計算機免受該蠕蟲感染。可在 http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 找到該修補程式。
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp 上提供了 IIS 的累積修補程式,其中包括先後發布的四個修補程式。
Norton AntiVirus 通過將該蠕蟲的有效負載(特洛伊木馬組件)檢測為 Trojan.VirtualRoot,可以檢測到 Web 伺服器是否被感染。此特洛伊木馬利用了 Windows 2000 中的漏洞。請下載並安裝下列 Microsoft 安全修補程式以解決該問題並阻止該特洛伊木馬再次感染計算機:
http://www.microsoft.com/technet/security/bulletin/MS00-052.asp.
計算機一旦被 CodeRed II 攻擊,就很難確定它是否還暴露於其他威脅之下。通常受感染系統不會受到進一步的威脅。不過,其中某些計算機現在已容易受到攻擊,存在執行其他惡意活動的可能性。除非可以絕對確定沒有對該計算機執行過其他惡意行為(通過閱讀日誌),否則最好完全重新安裝系統。這種方法可以 100% 保證計算機是乾淨的。
防護
* 病毒定義(每周 LiveUpdate™) 2001 年 8 月 5 日
* 病毒定義(智慧型更新程式) 2001 年 8 月 5 日
威脅評估
廣度
* 廣度級別: Low
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: Medium
* 威脅抑制: Difficult
* 清除: Moderate
損壞
* 損壞級別: Medium
* 有效負載: Installs a BACKDOOR TROJAN on the Web server, allowing remote execution/access,
* 危及安全設定: Creates Backdoor on Web server.
分發
* 分發級別: High
* 連線埠: 80
* 感染目標: Microsoft IIS Web Server.
該蠕蟲利用 idq.dll 檔案中已知的緩衝區溢出漏洞,將自己安裝在隨機的 Web 伺服器上,從而進行傳播。只有尚未使用最新的 Microsoft IIS 服務包修補的系統才可能受到感染。
Microsoft 已發布了有關該漏洞的信息,可從 http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 獲得 Microsoft 修補程式。http://www.microsoft.com/technet/security/bulletin/MS01-044.asp 提供了 IIS 的累積修補程式,其中包括先後發布的四個修補程式。建議系統管理員套用 Microsoft 修補程式以防止被該蠕蟲感染並阻止及其他未授權訪問。
當 Web 伺服器被感染時,此蠕蟲首先會調用其初始化例程,識別出 ISS 伺服器服務進程地址空間中 Kernel32.dll 的基址。接著將尋找 GetProcAddress 的地址,然後開始調用 GetProcAddress 來獲取對一組 API 地址的訪問許可權:
LoadLibraryA
CreateThread
..
..
GetSystemTime
然後載入 ws2_32.dll 以訪問 socket、closesocket 和 WSAGetLastError 等函式。該蠕蟲還從 User32.dll 檔案中獲得用於重新啟動系統的 ExitWindowsEx。
主執行緒將檢查兩個不同的標記符。第一個標記符“29A”控制著 Trojan.VirtualRoot 的安裝,第二個標記符就是稱為“CodeRedII”的信號。如果該信號存在,此蠕蟲將進入無限睡眠狀態。接著,主執行緒將檢查默認語言。如果默認語言是中文(無論繁體還是簡體),它將創建 600 個新執行緒,否則,只創建 300 個。這些執行緒將產生一些隨機的 IP 地址,用於搜尋要感染的新 Web 伺服器。這些執行緒運行時,主執行緒會將 Cmd.exe 檔案從 Windows NT \System 資料夾複製到下列資料夾(如果存在)。
C:\Inetpub\Scripts\Root.exe
D:\Inetpub\Scripts\Root.exe
C:\Progra~1\Common~1\System\MSADC\Root.exe
D:\Progra~1\Common~1\System\MSADC\Root.exe
如果該蠕蟲放置的特洛伊木馬已修改了註冊表鍵
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\W3SVC\Parameters\Virtual Roots
(通過添加幾個新鍵並將用戶組設定為 217),黑客就能夠傳送 HTTP GET 請求以在受感染的 Web 伺服器上運行 scripts/root.exe ,從而完全控制該 Web 伺服器。
主執行緒在中文系統中睡眠 48 小時,在其他系統中睡眠 24 小時。這 300 或 600 個執行緒將繼續運行並試圖感染其他系統。主執行緒從睡眠中喚醒後將導致計算機重新啟動。另外,所有執行緒都將檢查當前月份是否是 10 月或當前年份是否是 2002 年,如果是,將重新啟動計算機。
此蠕蟲將命令解釋程式 (cmd.exe) 複製到 IIS Web 伺服器的默認可執行目錄下,從而實現遠程控制。它還將一個屬性設定為隱藏、系統和唯讀的檔案以 C:\Explorer.exe 或/和 D:\Explorer.exe 形式放入根驅動器上。Norton AntiVirus 認為這些特洛伊木馬檔案就是 Trojan.VirtualRoot。該蠕蟲會以打包的形式攜帶此檔案並在放入此檔案時解包。
感染持續 24 或 48 小時,然後重新啟動計算機。不過,如果沒有安裝 Microsoft 最新的修補程式,同一台計算機可能被再次感染。如果月份是 10 月,或年份是 2002 年,也將重新啟動計算機。當計算機重新啟動時,Trojan.VirtualRoot 在系統試圖執行 Explorer.exe 時執行(根據Windows NT 執行程式時解析或搜尋程式路徑的方式)。該特洛伊木馬 (C:\Explorer.exe) 將睡眠幾分鐘,然後重新設定註冊表鍵以確保其已被更改。
值得注意的是,駐留記憶體的蠕蟲在計算機重新啟動後將不會被激活。這意味受感染系統重新啟動後,蠕蟲將不會試圖將自身傳播到其他計算機中,除非該系統恰巧被再次感染。
該特洛伊木馬還會修改註冊表鍵
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
將
SFCDisable
的值設定為
0xFFFFFF9D
這會禁用系統檔案檢查程式 (SFC)。
注意:
* 如果運行 Microsoft Frontpage 或此類用於設計網頁的程式,計算機上可能會安裝 IIS。
* 有關添加到 IIS 日誌檔案的字元串等其他信息,請訪問 CERT Coordination Center 頁:http://www.cert.org/incident_notes/IN-2001-08.html
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
SARC 已經創建了一套工具以對計算機進行防漏洞性評估,該工具還可以殺除 CodeRed 蠕蟲和 CodeRed II。要想獲得該 CodeRed 防毒工具,請單擊此處。如果因為某種原因而無法獲得或使用 CodeRed 防毒工具,就必須手動殺除該蠕蟲。
手動防毒
要手動殺除該蠕蟲,必須套用必需的 Microsoft 修補程式、刪除檔案、進行其他幾處更改,然後編輯註冊表。請按下列順序執行所有指導中的操作。
獲得修補程式:
這一步非常重要。請不要跳過此步驟。
從下列網站下載、獲得並套用修補程式:
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
也可以從以下位置下載和安裝 IIS 的累積修補程式:
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
刪除蠕蟲檔案:
1. 終止與所放置的特洛伊木馬(NAV 將其檢測為 Trojan.VirtualRoot)相關的當前進程:
1. 按 Ctrl+Alt+Delete,並單擊“任務管理器”。
2. 單擊“進程”選項卡。
3. 單擊“映像名稱”列標題兩次,按字母順序對進程排序。您會發現有兩個名為 Explorer.exe 的進程,一個是正常的進程,另一個就是特洛伊木馬。
4. 要確保終止正確的進程,請單擊“查看”,然後單擊“選擇列…”。
5. 選中“執行緒計數”框,然後單擊“確定”。
6. 此時,任務管理器中會出現一個新列,列出與每個進程相關的當前執行緒數量。(可能需要滾動到右側才能看見。)
7. 在兩個 Explorer.exe 進程中,單擊只有一個執行緒的進程。
8. 選中後,單擊“結束進程”。出現警告訊息。
9. 單擊“是”終止該進程。
10. 單擊“檔案”,然後單擊“退出任務管理器”。
2. 接下來必須刪除在受感染系統上創建的 Explorer.exe 檔案。這些檔案具有隱藏、系統和唯讀屬性。
1. 單擊“開始”,然後單擊“運行”。
2. 鍵入下列內容,然後按 Enter 鍵:
cmd
3. 鍵入下列命令行,每鍵入完一行即按 Enter 鍵:
cd c:\
attrib -h -s -r explorer.exe
del explorer.exe
這會更改到根目錄、刪除屬性並從驅動器 C 刪除該特洛伊木馬。
4. 鍵入下列內容,然後按 Enter 鍵:
d:
這將更改到驅動器 D(如果存在)。如果沒有驅動器 D,則跳到步驟 f。
5. 鍵入下列命令行,每鍵入完一行即按 Enter 鍵:
cd d:\
attrib -h -s -r explorer.exe
del explorer.exe
6. 鍵入下列內容,然後按 Enter 鍵:
exit
3. 使用 Windows 資源管理器刪除以下四個檔案(如果存在),它們只是 %Windir%\root.exe 檔案的副本:
* C:\Inetpub\Scripts\Root.exe
* D:\Inetpub\Scripts\Root.exe
* C:\Progra~1\Common~1\System\MSADC\Root.exe
* D:\Progra~1\Common~1\System\MSADC\Root.exe
4. 必須立即打開計算機管理器來刪除 Web 伺服器上開放的共享資源。要執行該操作,請用滑鼠右鍵單擊桌面上的“我的電腦”圖示,然後選擇“管理”。
出現“計算機管理”視窗。
5. 在左窗格中,導航到 \計算機管理(本地)\服務和應用程式\默認 Web 站點。
6. 在右窗格中,用滑鼠右鍵單擊驅動器 C 圖示,然後單擊“刪除”。對“默認 Web 站點”下列出的其他所有驅動器重複該步驟。
7. 請繼續下一部分。
編輯註冊表:
警告:強烈建議在進行任何更改之前備份系統註冊表。錯誤地更改註冊表可能會導致數據永久丟失或檔案損壞。請確保只修改指定的鍵。繼續操作之前,請參閱文檔:如何備份 Windows 註冊表。
1. 單擊“開始”,然後單擊“運行”。“運行”對話框出現。
2. 鍵入 regedit,然後單擊“確定”。註冊表編輯器打開。
3. 導航至以下鍵
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\W3SVC\Parameters\Virtual Roots
右窗格中將出現幾個值。其中的兩個值可以刪除,因為它們是由 CodeRed II 創建的。其他值必須進行更改。
4. 選擇值
/C
5. 按 Delete 鍵,然後單擊“是”確認。
6. 選擇值
/D
7. 按 Delete 鍵,然後單擊“是”確認。
8. 雙擊值
/MSADC
9. 從當前值數據中僅刪除數字“217”並替換為數字“201”,然後單擊“確定”。
10. 雙擊值
/Scripts
11. 從當前值數據中僅刪除數字“217”並替換為數字“201”,然後單擊“確定”。
注意:CodeRed 防毒工具會從註冊表完全刪除 /MSADC 和 /Scripts 項。使用該工具後,會在重新啟動 IIS 時使用正確的值重新創建這些項。
12. 執行下列操作之一:
* 如果不是 Windows 2000 系統,則跳到步驟 16。
* 如果是 Windows 2000 系統,則跳到步驟 13。
13. 導航至以下鍵
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\WinLogon
14. 在右窗格中,雙擊值
SFCDisable
15. 刪除當前的值數據,然後鍵入 0(這是數字零,不是字母“O”)。單擊“確定”。
16. 退出註冊表編輯器。
17. 重新啟動系統以確保 CodeRed II 已被正確殺除。
描述者: Peter Szor, Eric Chien
