紅色代碼病毒

基本資料

紅色代碼病毒

紅色代碼(Code Red)

損失估計：全球約26億美元

“紅色代碼”病毒是一種新型網路病毒，其傳播所使用的技術可以充分體現網路時代網路安全與病毒的巧妙結合，將網路蠕蟲、計算機病毒、木馬程式合為一體，開創了網路病毒傳播的新路，可稱之為劃時代的病毒。如果稍加改造，將是非常致命的病毒，可以完全取得所攻破計算機的所有許可權為所欲為，可以盜走機密數據，嚴重威脅網路安全。
2001年7月中該病毒在美國等地大規模蔓延，引起了恐慌，國外通訊社連續報導該病毒的破壞情況；8月初，該病毒做了一些修改，針對中文作業系統加強了攻擊能力，導致在國內大規模蔓延，特別是北京等信息化程度較高的地區，受災情況相當嚴重，公安部發布緊急通告，要求對該病毒嚴加防範。

“紅色代碼”還被稱為Bady，設計者蓄意進行最大程度的破壞。被它感染後，遭受攻擊的主機所控制的網路站點上會顯示這樣的信息：“你好！歡迎光臨www.worm.com！”。隨後，病毒便會主動尋找其他易受攻擊的主機進行感染。這個行為持續大約20天，之後它便對某些特定IP位址發起拒絕服務(DoS)攻擊。在短短不到一周的時間內，這個病毒感染了近40萬台伺服器，據估計多達100萬台計算機受到感染。

病毒分析

發現日期:2001/7/18
別名：W32/Bady.worm
該蠕蟲感染運行Microsoft Index Server 2.0的系統，或是在Windows 2000、IIS中啟用了indexing service(索引服務)的系統。該蠕蟲利用了一個緩衝區溢出漏洞進行傳播（未加限制的Index Server ISAPI Extension緩衝區使WEB伺服器變的不安全）。蠕蟲只存在於記憶體中，並不向硬碟中拷檔案。

蠕蟲的傳播是通過TCP/IP協定和連線埠80，利用上述漏洞蠕蟲將自己作為一個TCP/IP流直接傳送到染毒系統的緩衝區，蠕蟲依次掃描WEB，以便能夠感染其他的系統。一旦感染了當前的系統，蠕蟲會檢測硬碟中是否存在c:\notworm，如果該檔案存在，蠕蟲將停止感染其他主機。
蠕蟲會“強制”web頁 中包含下面的代碼：

elcome to http://www.worm.com !

HackedBy Chinese!

該頁面的顯示結果為：
Welcome to http://www.worm.com !
Hacked By Chinese!

感染方式

“紅色代碼”病毒是通過微軟公司IIS系統漏洞進行感染，它使IIS服務程式處理請求數據包時溢出，導致把此“數據包”當作代碼運行，病毒駐留後再次通過此漏洞感染其它伺服器。
“紅色代碼”病毒採用了一種叫做"快取區溢出"的黑客技術，利用網路上使用微軟IIS系統的伺服器來進行病毒傳播。這個蠕蟲病毒使用伺服器的連線埠80進行傳播，而這個連線埠正是Web伺服器與瀏覽器進行信息交流的渠道。
與其它病毒不同的是，“紅色代碼” 不同於以往的檔案型病毒和引導型病毒，並不將病毒信息寫入被攻擊伺服器的硬碟。它只存在於記憶體，傳染時不通過檔案這一常規載體，而是藉助這個伺服器的網路連線攻擊其它的伺服器，直接從一台電腦記憶體傳到另一台電腦記憶體。當本地IIS服務程式收到某個來自“紅色代碼”傳送的請求數據包時，由於存在漏洞，導致處理函式的堆疊溢出。當函式返回時，原返回地址已被病毒數據包覆蓋，程式運行線跑到病毒數據包中，此時病毒被激活，並運行在IIS服務程式的堆疊中。

解決方案

工具清除

在以往傳統的網路信息安全保護體系中，要清除網路體系內的病毒和黑客程式，必須採用在網路出口處設定防火牆或入侵檢測軟體，通過日誌或流量異常定位網路病毒的存在，再使用反病毒軟體進行清除，這樣的做法不僅成本高昂，而且操作複雜，是一種被動式的查殺方法。
瑞星提供的瑞星防毒軟體網路版+微軟補丁程式是徹底解決“紅色代碼”類病毒的最佳方法。最新的瑞星防毒軟體網路版已增加自動探測計算機是否存在微軟IIS安全漏洞的功能，變“被動查殺”為“主動防殺”，大大節省了系統管理員的勞動強度和軟體使用難度。
利用瑞星防毒軟體網路版獨有的“全網防毒”功能，系統管理員可以通過瑞星移動控制台，只需幾分鐘，不僅可殺滅全網範圍內的“紅色代碼”病毒，同時還可準確了解網路中存在IIS安全漏洞的所有計算機。只要對這些存在IIS安全漏洞的計算機安裝微軟補丁程式，就可防範“紅色代碼”類病毒再次攻擊，徹底與“紅色代碼”告別。

手動清除

一、立即採取以下兩種安全防範措施之一，預防紅色蠕蟲病毒感染。
方法1：從微軟的網站下載打補丁軟體，地址為：
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
對Windows NT：ftp://ftp.ccert.edu.cn/pub/CHSQ300972i.exe
對Win2000：ftp://ftp.ccert.edu.cn/pub/Q300972_W2k_SP3_x86_cn.exe
方法2：把%windowsdir%\system32中的idq.dll做備份，然後刪除。
二、通過主機的系統日誌檢察系統是否已被感染紅色蠕蟲病毒。
在目錄C:\winnt\system32\logfiles\w3svc1下的檔案中，如果發現含有以下內容的
檔案，則說明主機已經感染紅色蠕蟲病毒。
"GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u68
58%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%
u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0"
三、對於已經感染病毒的主機，按以下步驟消除病毒：
(1) 將該機器從網路上斷開，以避免重複感染和感染其它機器。
(2) 立即停止IIS服務。打開控制臺，打開"服務"，點擊World Wide Web Publis
hing Service. 選擇"已禁用"。
3) 重新啟動機器，運行cmd，在cmd視窗中運行以下命令（或下載批處理檔案ftp: //ftp.ccert.edu.cn/pub/clean.bat），以刪除蠕蟲病毒留下的後門。

忽略其中任何錯誤。
(4) 修改被蠕蟲改動過的註冊表：
運行regedit
選擇：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
　選擇/C,選擇刪除；選擇/D, 選擇刪除。
　選擇：/MSADC，將217換為201。
　選擇：/scripts，將271換為201。
對於Windows 2000系統，需要打開：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
將SFCDisable改為0。
(5) 重新啟動機器。

病毒變種介紹——紅色代碼II(Code redII)

Code Red蠕蟲能夠迅速傳播，並造成大範圍的訪問速度下降甚至阻斷。“紅色代碼”蠕蟲造成的破壞主要是塗改網頁,對網路上的其它伺服器進行攻擊，被攻擊的伺服器又可以繼續攻擊其它伺服器。在每月的20-27日，向特定IP位址198.137.240.91(www.whitehouse.gov)發動攻擊。病毒最初於2001年7月19日首次爆發，2001年7月31日該病毒再度爆發，但由於大多數計算機用戶都提前安裝了修補軟體，所以該病毒第二次爆發的破壞程度明顯減弱

Code Red採用了一種叫做"快取區溢出"的黑客技術，利用網路上使用微軟IIS系統的伺服器來進行病毒的傳播。這個蠕蟲病毒使用伺服器的連線埠80進行傳播，而這個連線埠正是Web伺服器與瀏覽器進行信息交流的渠道。Code Red主要有如下特徵：入侵IIS伺服器，code red會將WWW英文站點改寫為“Hello! Welcome to www.Worm.com! Hacked by Chinese!”；

與其它病毒不同的是，Code Red並不將病毒信息寫入被攻擊伺服器的硬碟。它只是駐留在被攻擊伺服器的記憶體中，並藉助這個伺服器的網路連線攻擊其它的伺服器。
“紅色代碼2”是“紅色代碼”的改良版，病毒作者對病毒體作了很多最佳化，同樣可以對“紅色代碼”病毒可攻擊的聯網計算機發動進攻，但與“紅色代碼”不同的是，這種新變型不僅僅只對英文系統發動攻擊，而是攻擊任何語言的系統。而且這種病毒還可以在遭到攻擊的機器上植入“特洛伊木馬”，使得被攻擊的機器“後門大開”。“紅色代碼2”擁有極強的可擴充性，通過程式自行完成的木馬植入工作，使得病毒作者可以通過改進此程式來達到不同的破壞目的。當機器日期大於2002年10月時，病毒將強行重起計算機。

1.病毒依賴的系統：WinNT/2000(安裝且運行了IIS服務程式)
2.病毒的感染:通過IIS漏洞，使IIS服務程式處理請求數據包時溢出，導致把此“數據包”當作代碼運行。病毒駐留後再次通過此漏洞感染其它伺服器。
3.病毒的發作:強行重起計算機
4.其他信息:
CodeRedII(紅色代碼2)是CodeRed（紅色代碼）的改進版。它不同於以往的檔案型病毒和引導型病毒，只存在於記憶體，傳染時不通過檔案這一常規載體，直接從一台電腦記憶體到另一台電腦記憶體。和CodeRed不同的是CodeRedII病毒體內還包含一個木馬程式，這使得CodeRedII擁有前身無法比擬的可擴充性，只要病毒作者願意，隨時可更換此程式來達到不同的目的。
5.程式流程:
當本地IIS服務程式收到某個來自CodeRedII發的請求數據包時，由於存在漏洞，導致處理函式的堆疊溢出（Overflow）。當函式返回時，原返回地址已被病毒數據包覆蓋，程式運行線跑到病毒數據包中，此時病毒被激活，並運行在IIS服務程式的堆疊中。
病毒代碼首先會判斷記憶體中是否以註冊了一個名為CodeRedII的Atom(系統用於對象識別)，如果已存在此對象，表示此機器已被感染，病毒進入無限休眠狀態，未感染則註冊Atom並創建300個病毒執行緒，當判斷到系統默認的語言ID是中華人民共和國或中國台灣是，執行緒數猛增到600個，創建完畢後初始化病毒體內的一個隨機數發生器，此發生器產生用於病毒感染的目標電腦IP位址。每個病毒執行緒每100毫秒就會向一隨機地址的80連線埠傳送一長度為3818位元組的病毒傳染數據包。完成上述工作後病毒將系統目錄下的CMD.EXE檔案分別複製到系統根目錄\inetpub\scripts和系統根目錄\progra~1\common~1\system\MSADC目錄下，並取名為root.exe。然後從病毒體內釋放出一個木馬程式，複製到系統根目錄下，並取名為explorer.exe,此木馬運行後會調用系統原explorer.exe，運行效果和正常explorer程式無異，但註冊表中的很多項已被修改。由於釋放木馬的代碼是個循環，如果目的目錄下explorer.exe發現被刪，病毒又會釋放出一個。
最後病毒休眠24小時（中文版為48小時）強行重起計算機。當病毒執行緒在判斷日期大於2002年10月時，會立刻強行重起計算機。

病毒變種介紹——紅色代碼III（Junk.Codered.f）

警惕程度：★★★★
發作時間：隨機
病毒類型：記憶體病毒
傳播方式：記憶體
感染對象：記憶體

病毒介紹：

該病毒於3月13日由瑞星公司國內率先截獲，它是給全球的企業和個人造成了26.2億美元經濟損失的“紅色代碼”病毒的改進版本！它攻擊安裝了IIS服務程式的win2000系統的計算機，本身無檔案形式，只存在於記憶體中，同時分成數百份執行緒，在區域網路內瘋狂傳播，瞬間導致被感染的網路癱瘓。網路用戶只能選用有記憶體監控的反病毒產品，將全網的記憶體監控同時打開並進行全網統一防毒才能清除該病毒。

“紅色代碼II”病毒代碼首先會判斷記憶體中是否以註冊了一個名為CodeRedII的Atom(系統用於對象識別)，如果已存在此對象，表示此機器已被感染，病毒進入無限休眠狀態，未感染則註冊Atom並創建300個病毒執行緒，當判斷到系統默認的語言ID是中華人民共和國或中國台灣時，執行緒數猛增到600個，創建完畢後初始化病毒體內的一個隨機數發生器，此發生器產生用於病毒感染的目標電腦IP位址。每個病毒執行緒每100毫秒就會向一隨機地址的80連線埠傳送一長度為3818位元組的病毒傳染數據包。巨大的病毒數據包使網路陷於癱瘓。
“紅色代碼II”病毒體內還包含一個木馬程式，這意味著計算機黑客可以對受到入侵的計算機實施全程遙控，並使得“紅色代碼II”擁有前身無法比擬的可擴充性，只要病毒作者願意，隨時可更換此程式來達到不同的目的。

病毒的發現與清除：

紅色代碼病毒

此病毒會有如下特徵，如果用戶發現計算機中有這些特徵，則很有可能中了此病毒，可以按照下面所說的方法手工清除“紅色代碼III（Junk.Codered.f）”病毒。

1. 病毒會在記憶體中建立300個到600個病毒執行緒，病毒在記憶體中瘋狂傳染時會導致系統資源被100%占用，計算機運行非常慢。

2. 如果月份大於等於10月時，病毒會強行重新啟動計算機。

3. 病毒運行時會將系統目錄下的CMD.EXE檔案分別複製到系統根目錄\inetpub\scripts和系統根目錄\progra~1\common~1\system\MSADC目錄下，並取名為root.exe。然後從病毒體內釋放出一個木馬程式，複製到系統根目錄下，並取名為explorer.exe。

4. 病毒會修改相應的註冊表項。

用戶如果發現上述情況該很有可能是中了“紅色代碼III（Junk.Codered.f）”病毒，應該立刻拔掉網線，刪除上述檔案，給系統打上補丁，補丁應該是Server pack 2以上版本。

用戶如果想徹底清除該病毒，也可以採用瑞星防毒軟體2003版進行清除, 對於有區域網路的企事業單位，最好採用網路版進行全網監控與全網防毒。

病毒變種介紹——紅色代碼F（CODERED.F）

CODERED.F
別名:紅色代碼F
風險指數:low
病毒種類: 蠕蟲
具破壞性:不會

趨勢科技從日本和義大利收到大量感染報告，並在2001年3月12號下午9點發布黃色警報來控制這個病毒的傳播。

這個蠕蟲病毒類似於紅色代碼的其他變種，利用微軟IIS遠程快取溢出獲得系統許可權。 並在這個感染的Web伺服器上拷貝一個後門程式，給攻擊者完全的訪問許可權，威脅網路安全.

這個蠕蟲對Windows 95, 98, 和 ME 沒有危害. Windows NT和2000 上沒有IIS的用戶也沒有危害。 這個蠕蟲緊緊影響沒有打微軟的MS01-033補丁的IIS伺服器.

這個變種的區別僅僅是觸發日期，CODERED.C 在低於2002的年份運行。然而這個病毒CODERED.F在低於34952的年份運行.

解決方案:

利用趨勢的清理工具fix tool自動清理這個病毒.使用前請查看readme_codec.txt . 雙擊或者打開命令行來運行這個工具. 這個工具可以運行在Windows 2000 Servers (全部版本) 和Windows NT Servers. 如果您有MD5工具，這個清理工具的MD5簽名是efd4640c93f637e0bf8a841496e5b389

請下載微軟相應漏洞的安全補丁: MS01-033 patch、MS01-044 patch

相關報導

白宮、FBI、微軟聯手對付“紅色代號”蠕蟲

為了聯手對付一個名為“紅色代號”的蠕蟲病毒，美國白宮、聯邦調查局以及微軟等各大公司的代表於美國當地時間2001年7月29日表示，他們準備於2001年7月30日向世界各大相關組織求救，共同對付這個蠕蟲。“紅色代號”蠕蟲的破壞力極強，曾使包括美國國防部網站在內的多家著名網站被迫關閉。

據美國國家基礎設施保護足以的主管迪克表示：“網際網路已經成為經濟健康發展及國家安全不可缺少的重要因素。象“紅色代號”這樣的蠕蟲對網際網路造成的傷害是顯而易見的。”“紅色代號”蠕蟲與其它病毒類似，它能夠迅速傳播，並造成大範圍的訪問速度下降甚至阻斷。

政府官員和微軟公司的代表預計將於周一下午舉行新聞發布會，對外界通報他們的努力成果。政府先前也同一些公司共同協作，通報黑客的攻擊及新的病毒的情況。

雖然目前還不知道“紅色代號”蠕蟲確切的傳播速度，但估計已經有上百萬部計算機已被感染，僅在該蠕蟲2001年7月19日開始發作的9個小時裡，它就感染了35萬多部計算機系統，其速度之快實屬罕見。

“紅色代號”蠕蟲造成的破壞主要是修改網頁，儘管現在還沒有發現它能夠刪除資料庫，但這種蠕蟲具有修改檔案的能力。

紅色代號病毒已造成經濟損失12億美元

美國舊金山時間2001年7月31日晚上(台北時間2001年8月1日上午)訊息，美國加州一家獨立的研究機構Computer Economics 31日發表一份研究報告稱，迄今為止於2001年7月19日首次爆發的“代號紅色”病毒預計已造成經濟損失12億美元。

該研究機構副總裁米切爾-埃伯斯奇勒表示，這種病毒現已入侵了大約36萬台伺服器，由此造成的清理、監控以及檢查費用已達到7.4億美元。另外，與這種病毒入侵相關的經濟效益損失預計已達4.5億美元。這位副總裁表示：“聘請信息技術人員的價格不菲，很多公司此前已將技術維護外包給其他公司，因此他們每次必須支付300美元才能聘請到專業人士對遭到病毒入侵的伺服器進行清理。”他還預計，估計還有600萬台伺服器有可能遭到“代號紅色”病毒的攻擊。

與此同時，由於上述病毒會對安裝有視窗NT以及視窗2000作業系統的計算機進行攻擊，微軟表示病毒爆發後到網上下載其修補軟體的人數已超過百萬。

專家指出，只有等到這種病毒完全消失之後才能對其造成的經濟損失進行全面的評估。“代號紅色”病毒一般會在一個月的前20天裡發動進攻，然後會在不確定的時間裡處於休眠狀態。但是，受到病毒進攻的計算機如果內部時間或日期出現錯誤，那么這種病毒爆發的期限極有可能延長。

埃伯斯奇勒表示，去年的“愛蟲”病毒造成的經濟損失高達87億美元，另外1999爆發的“梅麗莎”病毒造成的經濟損失也在10億美元左右。

另外，Network Associates公司31日表示，該公司已對2萬多個系統進行了掃瞄檢查並已探測到至少1230台計算機仍然有可能遭到“代號紅色”病毒的入侵。

專家稱對“代號紅色”病毒可以放鬆

美國聯邦調查局(FBI)國家基礎設施保護中心(NIPC)的主任羅納德-迪克估計，受到這種新病毒攻擊的計算機用戶有可能被限制在150萬名之內。他在2001年7月30日表示：“我們已注意到那些受到病毒攻擊的計算機正在搜尋這種病毒的來源，如果所有的用戶都採取最快的行動，那我們就可以將病毒的破壞力降至最小。”

日本東京一家計算機安全公司的主管戴維-佩里也表示，大多數計算機用戶不必擔心受到“代號紅色”病毒的攻擊。他說：“這種病毒不以電子郵件的形式進行傳播，而且它也不會破壞計算機的硬碟，另外大多數用戶的計算機中都沒有安裝有可能遭到病毒感染的軟體。因此，計算機用戶完全可以以一种放松的心情對待它。”

佩里還補充說，安裝微軟視窗95、視窗98以及視窗ME等作業系統的計算機大多不會感染“代號紅色”病毒。

另一方面，美國加州EEye數字安全公司的首席反黑客官員馬克-麥弗雷特卻表示，家用電腦用戶極有可能遭到“代號紅色”病毒的入侵，他說；“這種病毒也許不會破壞計算機硬碟，但肯定會導致上網速度減緩。”

事實上，早在“代號紅色”病毒被發現之前微軟公司就已發布了用來彌補伺服器安全缺陷的修補軟體，但佩里表示：“一些伺服器運營人員太懶了，他們沒有及時安裝上述修補軟體，這正是導致這種病毒爆發的原因之一，不過這一次也許他們會吸取教訓。”

相關下載

Windows NT 4.0（中文版）補丁 http://www.rising.com.cn/register/productcheck/CHECKDOWNLOAD/SP/CHsQ300972i.exe

Windows 2000 Professional, Server and Advanced Server:(中文版) 補丁
http://www.rising.com.cn/register/productcheck/CHECKDOWNLOAD/SP/Q300972_W2k_SP3_x86_cn.exe

常見計算機病毒