簡介
“紅色代碼”病毒紅色代碼II(Code redII)病毒分析
--------------------------------------------------------------------------------
Code Red蠕蟲能夠迅速傳播,並造成大範圍的訪問速度下降甚至阻斷。“紅色代碼”蠕蟲造成的破壞主要是塗改網頁,對網路上的其它伺服器進行攻擊,被攻擊的伺服器又可以繼續攻擊其它伺服器。在每月的20-27日,向特定IP位址198.137.240.91(www.whitehouse.gov)發動攻擊。病毒最初於7月19日首次爆發,7月31日該病毒再度爆發,但由於大多數計算機用戶都提前安裝了修補軟體,所以該病毒第二次爆發的破壞程度明顯減弱
Code Red採用了一種叫做"快取區溢出"的黑客技術,利用網路上使用微軟IIS系統的伺服器來進行病毒的傳播。這個蠕蟲病毒使用伺服器的連線埠80進行傳播,而這個連線埠正是Web伺服器與瀏覽器進行信息交流的渠道。Code Red主要有如下特徵:入侵IIS伺服器,code red會將WWW英文站點改寫為“Hello! Welcome to www.Worm.com! Hacked by Chinese!”;
與其它病毒不同的是,Code Red並不將病毒信息寫入被攻擊伺服器的硬碟。它只是駐留在被攻擊伺服器的記憶體中,並藉助這個伺服器的網路連線攻擊其它的伺服器。
“紅色代碼2”是“紅色代碼”的改良版,病毒作者對病毒體作了很多最佳化,同樣可以對“紅色代碼”病毒可攻擊的聯網計算機發動進攻,但與“紅色代碼”不同的是,這種新變型不僅僅只對英文系統發動攻擊,而是攻擊任何語言的系統。而且這種病毒還可以在遭到攻擊的機器上植入“特洛伊木馬”,使得被攻擊的機器“後門大開”。“紅色代碼2”擁有極強的可擴充性,通過程式自行完成的木馬植入工作,使得病毒作者可以通過改進此程式來達到不同的破壞目的。當機器日期大於2002年10月時,病毒將強行重起計算機。
1.病毒依賴的系統:WinNT/2000(安裝且運行了IIS服務程式)
2.病毒的感染:通過IIS漏洞,使IIS服務程式處理請求數據包時溢出,導致把此“數據包”當作代碼運行。病毒駐留後再次通過此漏洞感染其它伺服器。
3.病毒的發作:強行重起計算機
4.其他信息:
CodeRedII(紅色代碼2)是CodeRed(紅色代碼)的改進版。它不同於以往的檔案型病毒和引導型病毒,只存在於記憶體,傳染時不通過檔案這一常規載體,直接從一台電腦記憶體到另一台電腦記憶體。和CodeRed不同的是CodeRedII病毒體內還包含一個木馬程式,這使得CodeRedII擁有前身無法比擬的可擴充性,只要病毒作者願意,隨時可更換此程式來達到不同的目的。
5.程式流程:
當本地IIS服務程式收到某個來自CodeRedII發的請求數據包時,由於存在漏洞,導致處理函式的堆疊溢出(Overflow)。當函式返回時,原返回地址已被病毒數據包覆蓋,程式運行線跑到病毒數據包中,此時病毒被激活,並運行在IIS服務程式的堆疊中。
病毒代碼首先會判斷記憶體中是否以註冊了一個名為CodeRedII的Atom(系統用於對象識別),如果已存在此對象,表示此機器已被感染,病毒進入無限休眠狀態,未感染則註冊Atom並創建300個病毒執行緒,當判斷到系統默認的語言ID是中華人民共和國或中國台灣是,執行緒數猛增到600個,創建完畢後初始化病毒體內的一個隨機數發生器,此發生器產生用於病毒感染的目標電腦IP位址。每個病毒執行緒每100毫秒就會向一隨機地址的80連線埠傳送一長度為3818位元組的病毒傳染數據包。完成上述工作後病毒將系統目錄下的CMD.EXE檔案分別複製到系統根目錄\inetpub\scripts和系統根目錄\progra~1\common~1\system\MSADC目錄下,並取名為root.exe。然後從病毒體內釋放出一個木馬程式,複製到系統根目錄下,並取名為explorer.exe,此木馬運行後會調用系統原explorer.exe,運行效果和正常explorer程式無異,但註冊表中的很多項已被修改。由於釋放木馬的代碼是個循環,如果目的目錄下explorer.exe發現被刪,病毒又會釋放出一個。
最後病毒休眠24小時(中文版為48小時)強行重起計算機。當病毒執行緒在判斷日期大於2002年10月時,會立刻強行重起計算機。
