情況
發現: 2003 年 3 月 11 日
更新: 2007 年 2 月 13 日 11:44:38 AM
別名: CodeRed.v3, CodeRed.C, CodeRed III, W32.Bady.C, W32/CodeRed.f.worm 【McAfee】, Win32.CodeRed.F 【CA】
類型: Trojan horse, Worm
受感染的系統: Microsoft IIS
CVE 參考: CVE-2001-0500 CVE-2001-0506
解決辦法
CodeRed.F 與原來的 CodeRed II 只有兩個位元組之差。CodeRed II 會在年份大於 2001 時重啟系統,但該變種沒有這種情況。
如果 CodeRed.F 被保存到檔案,Symantec 防病毒產品會將其檢測為 CodeRed Worm。該蠕蟲還會放置會被檢測為 Trojan.VirtualRoot 的特洛伊木馬程式。現有的 CodeRed 防毒工具將會正確地檢測和殺除該新變種。
有關如何充分利用 Symantec 技術抗擊 CodeRed 威脅的信息,請單擊此處。
CodeRed.F 掃描可攻擊的 Microsoft IIS 4.0 和 5.0 Web 伺服器的 IP 地址,並利用緩衝區溢出漏洞感染遠程計算機。該蠕蟲會將自己直接注入記憶體,而不是作為檔案複製到系統上。此外,CodeRed.F 會創建被檢測為 Trojan.VirtualRoot 的檔案。Trojan.VirtualRoot 會給予黑客對 Web 伺服器的完全遠程訪問許可權。
如果運行的是 Microsoft IIS 伺服器,建議您套用最新的 Microsoft 修補程式來預防該蠕蟲的感染。可在 http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 找到該修補程式。
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp 上提供了 IIS 的累積修補程式,其中包括先後發布的四個修補程式。
此外,Trojan.VirtualRoot 會利用 Windows 2000 的漏洞。下載和安裝以下 Microsoft 安全修補程式以解決該問題並組織該特洛伊木馬再次感染計算機:http://www.microsoft.com/technet/security/bulletin/MS00-052.asp。
計算機一旦遭到 CodeRed.F 攻擊,就很難確定該計算機是否也暴露在其他威脅之下。
在大多數情況下,不會發生更改(除了 CodeRed.F 或放置的特洛伊木馬進行的更改)。但是,黑客可以利用該特洛伊木馬訪問該計算機以進行更改。
除非您十分確定該計算機上未執行惡意活動,否則請完全重新安裝作業系統。
防護
* 病毒定義(每周 LiveUpdate™) 2001 年 8 月 5 日
* 病毒定義(智慧型更新程式) 2001 年 8 月 5 日
威脅評估
廣度
* 廣度級別: Low
* 感染數量: 0 - 49
* 站點數量: 0 - 2
* 地理位置分布: Medium
* 威脅抑制: Moderate
* 清除: Moderate
損壞
* 損壞級別: Medium
* 有效負載: Installs a BACKDOOR TROJAN on the Web server allowing remote execution/access
* 危及安全設定: Creates backdoor in Web server
分發
* 分發級別: High
* 連線埠: 80
* 感染目標: Microsoft IIS Web Server
CodeRed.F 利用 idq.dll 檔案中已知的緩衝區溢出漏洞,將自己安裝在隨機的 Web 伺服器上,從而進行傳播。只有尚未使用最新的 Microsoft IIS 服務包修補的系統才可能受到感染。
Microsoft 已發布了有關該漏洞的信息,可從 http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 獲得 Microsoft 修補程式。http://www.microsoft.com/technet/security/bulletin/MS01-044.asp 上提供了 IIS 的累積修補程式,其中包括先後發布的四個修補程式。建議系統管理員套用 Microsoft 修補程式以防止被該蠕蟲感染並阻止其他非授權訪問。
當 Web 伺服器受到感染時,該蠕蟲會:
1. 調用其初始化例程,確定 IIS Server 服務的進程地址空間中 Kernel32.dll 的基本地址。
2. 查找 GetProcAddress 的地址。
3. 開始調用 GetProcAddress 來獲取對一組 API 地址的訪問許可權,例如:
LoadLibraryA
CreateThread
..
..
GetSystemTime
然後,該蠕蟲會載入 ws2_32.dll 以訪問 socket、closesocket 和 WSAGetLastError 等函式。該蠕蟲會從 User32.dll 獲得 ExitWindowsEx,用於重新啟動系統。
主執行緒檢查兩個不同的標記符:
1. 第一個標記符是“29A”,它控制 Trojan.VirtualRoot 的安裝。
2. 另一個標記符是名為“CodeRedII”的信號。如果存在該信號,此蠕蟲會進入無限睡眠狀態。
接著,主執行緒將檢查默認語言。如果默認語言是中文(無論繁體還是簡體),它將創建 600 個新執行緒,否則,只創建 300 個。這些執行緒將產生一些隨機的 IP 地址,用於搜尋要感染的新 Web 伺服器。這些執行緒運行時,主執行緒會將 Cmd.exe 檔案從 Windows NT \System 資料夾複製到下列資料夾(如果存在):
* C:\Inetpub\Scripts\Root.exe
* D:\Inetpub\Scripts\Root.exe
* C:\Progra~1\Common~1\System\MSADC\Root.exe
* D:\Progra~1\Common~1\System\MSADC\Root.exe
如果該蠕蟲放置的特洛伊木馬程式已更改了註冊表鍵,
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
(通過添加幾個新鍵並將用戶組設定為 217),黑客就能夠傳送 HTTP GET 請求以在受感染的 Web 伺服器上運行 scripts/root.exe ,從而完全控制該 Web 伺服器。
主執行緒在中文系統中睡眠 48 小時,在其他系統中睡眠 24 小時。這 300 或 600 個執行緒將繼續運行並試圖感染其他系統。主執行緒從睡眠中喚醒後將導致計算機重新啟動。另外,所有執行緒都會檢查當前月份是否是 10 月或超過 10 月,或當前年份是否大於 34951 年,如果是,將重新啟動計算機。
此蠕蟲將命令解釋程式 (cmd.exe) 複製到 IIS Web 伺服器的默認可執行目錄下,從而實現遠程控制。它還將一個屬性設定為隱藏、系統和唯讀的檔案以 C:\Explorer.exe 或/和 D:\Explorer.exe 形式放入根驅動器上。Norton AntiVirus 認為這些特洛伊木馬檔案就是 Trojan.VirtualRoot。該蠕蟲會以打包的形式攜帶此檔案並在放入此檔案時解包。
感染持續 24 或 48 小時,然後重新啟動計算機。不過,如果沒有安裝 Microsoft 最新的修補程式,同一台計算機可能被再次感染。如果月份是 10 月或超過 10 月,或年份大於 34951 年,也將重新啟動計算機。當計算機重新啟動時,Trojan.VirtualRoot 在系統試圖執行 Explorer.exe 時執行(根據 Windows NT 執行程式時解析或搜尋程式路徑的方式)。該特洛伊木馬 (C:\Explorer.exe) 將睡眠幾分鐘,然後重新設定註冊表鍵以確保其已被更改。
注意:重啟後,記憶體駐留的蠕蟲將處於不活動狀態;即在已重啟的受感染系統上,該蠕蟲將不嘗試將其自身傳播到其他計算機,除非碰巧該計算機受到再次感染。
該特洛伊木馬還會修改註冊表鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
將值 SFCDisable
設定為 0xFFFFFF9D
這會禁用系統檔案檢查程式 (SFC)。
注意:
* 如果運行 Microsoft Frontpage 或此類用於設計網頁的程式,計算機上可能會安裝 IIS。
* 有關添加到 IIS 日誌檔案的字元串等其他信息,請訪問 CERT Coordination Center 頁:http://www.cert.org/incident_notes/IN-2001-08.html。
Symantec ManHunt
Symantec Manhunt 2.2 使用其 Anomaly Engine 將 CodeRed.F 檢測為“HTTP malformed URL”,如果套用了最新的特徵更新,在混合模式下會將其檢測為“HTTP_IIS_ISAPI_Extension”。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
Symantec 安全回響中心已經創建了一套工具以對計算機進行防漏洞性評估,該工具還可以殺除 CodeRed 蠕蟲和 CodeRed II。要想獲得該 CodeRed 防毒工具,請單擊此處。如果因為某種原因而無法獲得或使用 CodeRed 防毒工具,就必須手動殺除該蠕蟲。
手動防毒
要手動殺除該蠕蟲,必須套用必需的 Microsoft 修補程式、刪除檔案、進行其他幾處更改,然後編輯註冊表。按照所有指導依次執行。
獲得修補程式
重要:請不要跳過此步驟。
可從 http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 下載、獲得和套用該修補程式。
或者,可以下載並安裝 IIS 的累計修補程式,可在 http://www.microsoft.com/technet/security/bulletin/MS01-044.asp 找到。
刪除蠕蟲檔案
1. 終止與所放置的特洛伊木馬(NAV 將其檢測為 Trojan.VirtualRoot)相關的當前進程:
1. 按 Ctrl+Alt+Delete,並單擊“任務管理器”。
2. 單擊“進程”選項卡。
3. 單擊“映像名稱”列標題,按字母順序對進程排序。您會發現有兩個名為 Explorer.exe 的進程,一個是正常的進程,另一個就是特洛伊木馬。
4. 要確保終止正確的進程,請單擊“查看”,然後單擊“選擇列…”。
5. 選中“執行緒計數”框,然後單擊“確定”。
6. 此時,任務管理器中就會出現一個新列,列出與每個進程相關的當前執行緒數量。(可能需要滾動到右側才能看見。)
7. 在兩個 Explorer.exe 進程中,單擊只有一個執行緒的進程。
8. 選中後,單擊“結束進程”。(出現警告訊息。)
9. 單擊“是”終止該進程。
10. 單擊“檔案”,然後單擊“退出任務管理器”。
2. 然後,刪除在受感染系統上創建的 Explorer.exe 檔案。這些檔案具有隱藏、系統和唯讀屬性。
1. 單擊“開始”,然後單擊“運行”。
2. 鍵入 cmd,然後按 Enter 鍵。
3. 鍵入下列命令:
cd c:\
attrib -h -s -r explorer.exe
del explorer.exe
鍵入每個命令後按 Enter 鍵。
4. 這會更改到根目錄、刪除屬性並從驅動器 C 刪除該特洛伊木馬。
Type d:
5. 然後按 Enter 鍵。
這將更改到驅動器 D(如果存在)。(如果沒有驅動器 D,則跳到步驟 f。)
鍵入下列命令:
cd d:\
attrib -h -s -r explorer.exe
del explorer.exe
鍵入每個命令後按 Enter 鍵。
6. 鍵入 exit,然後按 Enter 鍵。
3. 使用 Windows 資源管理器刪除以下四個檔案(如果存在),它們是 %Windir%\root.exe 檔案的副本:
* C:\Inetpub\Scripts\Root.exe
* D:\Inetpub\Scripts\Root.exe
* C:\Progra~1\Common~1\System\MSADC\Root.exe
* D:\Progra~1\Common~1\System\MSADC\Root.exe
4. 打開“計算機管理器”,刪除 Web 伺服器上打開的共享。要執行該操作,請用滑鼠右鍵單擊桌面上的“我的電腦”圖示,然後選擇“管理”。
(出現“計算機管理”視窗。)
5. 在左窗格中,導航到 \計算機管理(本地)\服務和應用程式\默認 Web 站點。
6. 在右窗格中,用滑鼠右鍵單擊驅動器 C 圖示,然後單擊“刪除”。對“默認 Web 站點”下所列出的其他所有驅動器重複該操作。
7. 請繼續下一部分。
編輯註冊表
警告:強烈建議您在對系統註冊表進行任何更改之前先將其備份。錯誤地更改註冊表可能會導致數據永久丟失或檔案損壞。應只修改指定的鍵。繼續操作之前,請參閱文檔“如何備份 Windows 註冊表”。
1. 單擊“開始”,然後單擊“運行”。(將出現“運行”對話框。)
2. 鍵入 regedit,然後單擊“確定”。(將打開註冊表編輯器。)
3. 導航至以下鍵:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
在右窗格中,會看見幾個值,其中兩個是 CodeRed II 所創建的,可以進行刪除。更改其他值。
4. 選擇值:/C
按 Delete 鍵,然後單擊“是”確認。
5. 選擇值:/D
6. 按 Delete 鍵,然後單擊“是”確認。
7. 雙擊值:/MSADC
8. 從當前值數據中僅刪除數字“217”並替換為數字“201”,然後單擊“確定”。
9. 雙擊值:/Scripts
10. 從當前值數據中僅刪除數字“217”並替換為數字“201”,然後單擊“確定”。
注意:CodeRed 防毒工具會從註冊表完全刪除 /MSADC 和 /Scripts 項。使用該工具後,會在重新啟動 IIS 時使用正確的值重新創建這些項。
11. 執行下列操作之一:
* 如果不是 Windows 2000 系統,則跳到步驟 16。
* 如果是 Windows 2000 系統,則跳到步驟 13。
12. 導航至以下鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
13. 在右窗格中,雙擊值:SFCDisable
14. 刪除當前的值數據,然後鍵入 0(這是數字零,不是字母“O”)。單擊“確定”。
15. 退出註冊表編輯器。
16. 重新啟動系統以確保 CodeRed II 已被正確殺除。
