“红色代码”病毒是2001年7月15日发现的一种
网络蠕虫病毒,感染运行Microsoft IIS
Web服务器的计算机。其传播所使用的技术可以充分体现
网络时代网络安全与病毒的巧妙结合,将
网络蠕虫、
计算机病毒、
木马程序合为一体,开创了网络病毒传播的新路,可称之为
划时代的病毒。如果稍加改造,将是非常致命的病毒,可以完全取得所攻破计算机的所有权限并
为所欲为,可以盗走
机密数据,严重威胁网络安全。
名称由来
红色病毒首先被eEye Digital Security公司的雇员Marc Maiffret和Ryan Permeh发现并研究。他们将其命名为“Code Red”,因为他们当时在喝Code Red Mountain Dew。
病毒原理
黑客技术, 利用微软IIS的漏洞进行病毒的感染和传播。该病毒利用
HTTP协议, 向IIS服务器的端口80发送一条含有大量
乱码的GET请求,目的是造成该
系统缓存区溢出, 获得超级用户权限,然后继续使用
HTTP 向该系统送出ROOT.EXE
木马程序,并在该系统运行,使病毒可以在该
系统内存驻留, 并继续感染其他IIS系统。Code Red 在向侵害对象发送GET 乱码时,总是在乱码前加上一个后缀为.ida的文件名,表示它正在请求该文件, 这是红色代码的重要特征。
运行过程
病毒破坏力
篡改被感染的网站,使其显示上节中提到的消息。
蠕虫病毒的活动一般与时间相关,根据系统时间不同会采取不同的活动:
1-19天
20-27天
对几个固定的
IP地址发动拒绝服务攻击,包括
白宫的IP地址。
28天到月末
休眠,没有攻击活动。
判别方法
检查服务器日志
检查
web服务器的日志文件,如果出现下面的字符串,则表示可能遭到红色代码病毒的攻击:
检查端口
如果在1025 以上端口出现很多SYN SENT 连接请求,或者1025 号以上的大量端口处于listening状态,那么你的机子也是已经遭受红色代码病毒的感染。
检查文件
如果在以下目录中存在Root.exe文件, 则说明已经感染
红色代码病毒:
清除方法
有两个explorer进程。关闭其中
线程计数为1 的进程。
(2) 删除上节“检查文件”中列出的文件
HKEY-LOCAL-MACHINE/SYSTEM/Currentcontrolset/Services/w3svc/parameters/virtua/roots
删除其中的/C, /D, 并将其中/ MSADC和scripts的值217
删除HKEY-LOCAL-MACHINE/Software/Microsoft/windowsNT/currentversion/winlogon
将其中的CFSDisable的值还原为0。
( 5) 更新最新的操作系统补丁。重启计算机即可。
病毒变种
红色代码II
红色代码II病毒不同于以往的文件型病毒和
引导型病毒,它只存在于
内存中,传染时不通过文件这一常规载体,可以直接从一台电脑内存感染到另外一台电脑的内存,并且它采用随机产生
IP地址的方式,搜索未被感染的计算机,每个病毒每天能够扫描40 万个IP地址,因而其传染性特别强。一旦病毒感染了计算机后,会释放出一个
特洛伊木马程序,为入侵者大开方便之门,黑客可以对被感染的计算机进行全程遥控。且红色代码II病毒不仅能感染英文
Windows2000和
NT,同时也可以感染中文操作系统。
“红色代码II”蠕虫代码首先会判断内存中是否以注册了一个名为CodeRedII的Atom(系统用于对象识别),如果已存在此对象,表示此机器已被感染,蠕虫进入无限
休眠状态,未感染则注册Atom并创建300个恶意线程,当判断到系统默认的语言
ID是
中华人民共和国或
中国台湾时,
线程数猛增到600个,创建完毕后初始化蠕虫体内的一个
随机数生成器(Rundom Number Generator),此生成器随机产生IP地址让被蠕虫去发现这些
IP地址对应的机器的漏洞并感染之。每个蠕虫线程每100毫秒就会向一随机地址的
80端口发送一长度为3818字节的病毒传染
数据包。巨大的蠕虫数据包使网络陷于瘫痪。
红色代码III
红色代码三代病毒允许黑客拥有
远程访问web 服务器的完全权限。红色代码三代发现于2001年8月4日,因为它同样利用
缓存溢出对其他网络服务进行传播,所以被称为原
红色代码病毒的变种。红色代码三代具有很高的危险性,红色代码蠕虫病毒会感染运行微软index server 2.0 或
windows 2000索引服务的系统, 它只会威胁到在windos NT和windows 2000操作系统上运行IIS 4.0和IIS 5.0的计算机。红色代码三代能够建立超过300个进程来寻找其他容易被攻击的服务器以进行传播。红色代码三代能探测更多的
IP地址,这引起Internet 访问量的增加和
网络速度的下降。