)红色代码病毒
红色代码病毒“红色代码”病毒是一种新型网络病毒,其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合,将网络蠕虫、计算机病毒、木马程序合为一体,开创了网络病毒传播的新路,可称之为划时代的病毒。
红色代码(Code Red)
损失估计:全球约26亿美元
“红色代码”病毒是一种新型网络病毒,其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合,将网络蠕虫、计算机病毒、木马程序合为一体,开创了网络病毒传播的新路,可称之为划时代的病毒。如果稍加改造,将是非常致命的病毒,可以完全取得所攻破计算机的所有权限为所欲为,可以盗走机密数据,严重威胁网络安全。
2001年7月中该病毒在美国等地大规模蔓延,引起了恐慌,国外通讯社连续报道该病毒的破坏情况;8月初,该病毒做了一些修改,针对中文操作系统加强了攻击能力,导致在国内大规模蔓延,特别是北京等信息化程度较高的地区,受灾情况相当严重,公安部发布紧急通告,要求对该病毒严加防范。
“红色代码”还被称为Bady,设计者蓄意进行最大程度的破坏。被它感染后,遭受攻击的主机所控制的网络站点上会显示这样的信息:“你好!欢迎光临www.worm.com!”。随后,病毒便会主动寻找其他易受攻击的主机进行感染。这个行为持续大约20天,之后它便对某些特定IP地址发起拒绝服务(DoS)攻击。在短短不到一周的时间内,这个病毒感染了近40万台服务器,据估计多达100万台计算机受到感染。
发现日期:2001/7/18
别名:W32/Bady.worm
该蠕虫感染运行Microsoft Index Server 2.0的系统,或是在Windows 2000、IIS中启用了Indexing Service(索引服务)的系统。该蠕虫利用了一个缓冲区溢出漏洞进行传播(未加限制的Index Server ISAPI Extension缓冲区使WEB服务器变的不安全)。蠕虫只存在于内存中,并不向硬盘中拷文件。
蠕虫的传播是通过TCP/IP协议和端口80,利用上述漏洞蠕虫将自己作为一个TCP/IP流直接发送到染毒系统的缓冲区,蠕虫依次扫描WEB,以便能够感染其他的系统。一旦感染了当前的系统,蠕虫会检测硬盘中是否存在c:\notworm,如果该文件存在,蠕虫将停止感染其他主机。
蠕虫会“强制”web页 中包含下面的代码:
<html><head><meta http-equiv="Content-Type" content="text/html;charset=English">
<title>HELLO!</title></head><body><hr size=5><font color="red">
<p align="center">elcome to http://www.worm.com !<br><br>
HackedBy Chinese!</font></hr>
</body></html>
该页面的显示结果为:
Welcome to http://www.worm.com !
Hacked By Chinese!
“红色代码”病毒是通过微软公司IIS系统漏洞进行感染,它使IIS服务程序处理请求数据包时溢出,导致把此“数据包”当作代码运行,病毒驻留后再次通过此漏洞感染其它服务器。
“红色代码”病毒采用了一种叫做"缓存区溢出"的黑客技术,利用网络上使用微软IIS系统的服务器来进行病毒传播。这个蠕虫病毒使用服务器的端口80进行传播,而这个端口正是Web服务器与浏览器进行信息交流的渠道。
与其它病毒不同的是,“红色代码” 不同于以往的文件型病毒和引导型病毒,并不将病毒信息写入被攻击服务器的硬盘。它只存在于内存,传染时不通过文件这一常规载体,而是借助这个服务器的网络连接攻击其它的服务器,直接从一台电脑内存传到另一台电脑内存。当本地IIS服务程序收到某个来自“红色代码”发送的请求数据包时,由于存在漏洞,导致处理函数的堆栈溢出。当函数返回时,原返回地址已被病毒数据包覆盖,程序运行线跑到病毒数据包中,此时病毒被激活,并运行在IIS服务程序的堆栈中。
工具清除
在以往传统的网络信息安全保护体系中,要清除网络体系内的病毒和黑客程序,必须采用在网络出口处设置防火墙或入侵检测软件,通过日志或流量异常定位网络病毒的存在,再使用反病毒软件进行清除,这样的做法不仅成本高昂,而且操作复杂,是一种被动式的查杀方法。
瑞星提供的瑞星杀毒软件网络版+微软补丁程序是彻底解决“红色代码”类病毒的最佳方法。最新的瑞星杀毒软件网络版已增加自动探测计算机是否存在微软IIS安全漏洞的功能,变“被动查杀”为“主动防杀”,大大节省了系统管理员的劳动强度和软件使用难度。
利用瑞星杀毒软件网络版独有的“全网杀毒”功能,系统管理员可以通过瑞星移动控制台,只需几分钟,不仅可杀灭全网范围内的“红色代码”病毒,同时还可准确了解网络中存在IIS安全漏洞的所有计算机。只要对这些存在IIS安全漏洞的计算机安装微软补丁程序,就可防范“红色代码”类病毒再次攻击,彻底与“红色代码”告别。
手动清除
一、立即采取以下两种安全防范措施之一,预防红色蠕虫病毒感染。
方法1:从微软的网站下载打补丁软件,地址为:
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
对Windows NT:ftp://ftp.ccert.edu.cn/pub/CHSQ300972i.exe
对Win2000:ftp://ftp.ccert.edu.cn/pub/Q300972_W2k_SP3_x86_cn.exe
方法2:把%windowsdir%\system32中的idq.dll做备份,然后删除。
二、通过主机的系统日志检察系统是否已被感染红色蠕虫病毒。
在目录C:\winnt\system32\logfiles\w3svc1下的文件中,如果发现含有以下内容的
文件,则说明主机已经感染红色蠕虫病毒。
"GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u68
58%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%
u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0"
三、对于已经感染病毒的主机,按以下步骤消除病毒:
(1) 将该机器从网络上断开,以避免重复感染和感染其它机器。
(2) 立即停止IIS服务。打开控制面板,打开"服务",点击World Wide Web Publis
hing Service. 选择"已禁用"。
3) 重新启动机器,运行cmd,在cmd窗口中运行以下命令(或下载批处理文件ftp: //ftp.ccert.edu.cn/pub/clean.bat),以删除蠕虫病毒留下的后门。
| C: |
| CD C:\ |
| ATTRIB -h -s -r explorer.exe |
| Del explorer.exe |
| Del C:\inetpub\scripts\root.exe |
| Del C:\progra~1\Common~1\System\MSADC\Root.exe |
| D: |
| CD D:\ |
| Attrib -h -s -r explorer.exe |
| Del explorer.exe |
| Del D:\inetpub\scripts\root.exe |
| Del D:\progra~1\Common~1\System\MSADC\Root.exe |
忽略其中任何错误。
(4) 修改被蠕虫改动过的注册表:
运行regedit
选择:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
选择/C,选择删除;选择/D, 选择删除。
选择:/MSADC,将217换为201。
选择:/scripts,将271换为201。
对于Windows 2000系统,需要打开:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
将SFCDisable改为0。
(5) 重新启动机器。
Code Red蠕虫能够迅速传播,并造成大范围的访问速度下降甚至阻断。“红色代码”蠕虫造成的破坏主要是涂改网页,对网络上的其它服务器进行攻击,被攻击的服务器又可以继续攻击其它服务器。在每月的20-27日,向特定IP地址198.137.240.91(www.whitehouse.gov)发动攻击。病毒最初于2001年7月19日首次爆发,2001年7月31日该病毒再度爆发,但由于大多数计算机用户都提前安装了修补软件,所以该病毒第二次爆发的破坏程度明显减弱
Code Red采用了一种叫做"缓存区溢出"的黑客技术,利用网络上使用微软IIS系统的服务器来进行病毒的传播。这个蠕虫病毒使用服务器的端口80进行传播,而这个端口正是Web服务器与浏览器进行信息交流的渠道。Code Red主要有如下特征:入侵IIS服务器,code red会将WWW英文站点改写为“Hello! Welcome to www.Worm.com! Hacked by Chinese!”;
与其它病毒不同的是,Code Red并不将病毒信息写入被攻击服务器的硬盘。它只是驻留在被攻击服务器的内存中,并借助这个服务器的网络连接攻击其它的服务器。
“红色代码2”是“红色代码”的改良版,病毒作者对病毒体作了很多优化,同样可以对“红色代码”病毒可攻击的联网计算机发动进攻,但与“红色代码”不同的是,这种新变型不仅仅只对英文系统发动攻击,而是攻击任何语言的系统。而且这种病毒还可以在遭到攻击的机器上植入“特洛伊木马”,使得被攻击的机器“后门大开”。“红色代码2”拥有极强的可扩充性,通过程序自行完成的木马植入工作,使得病毒作者可以通过改进此程序来达到不同的破坏目的。当机器日期大于2002年10月时,病毒将强行重起计算机。
1.病毒依赖的系统:WinNT/2000(安装且运行了IIS服务程序)
2.病毒的感染:通过IIS漏洞,使IIS服务程序处理请求数据包时溢出,导致把此“数据包”当作代码运行。病毒驻留后再次通过此漏洞感染其它服务器。
3.病毒的发作:强行重起计算机
4.其他信息:
CodeRedII(红色代码2)是CodeRed(红色代码)的改进版。它不同于以往的文件型病毒和引导型病毒,只存在于内存,传染时不通过文件这一常规载体,直接从一台电脑内存到另一台电脑内存。和CodeRed不同的是CodeRedII病毒体内还包含一个木马程序,这使得CodeRedII拥有前身无法比拟的可扩充性,只要病毒作者愿意,随时可更换此程序来达到不同的目的。
5.程序流程:
当本地IIS服务程序收到某个来自CodeRedII发的请求数据包时,由于存在漏洞,导致处理函数的堆栈溢出(Overflow)。当函数返回时,原返回地址已被病毒数据包覆盖,程序运行线跑到病毒数据包中,此时病毒被激活,并运行在IIS服务程序的堆栈中。
病毒代码首先会判断内存中是否以注册了一个名为CodeRedII的Atom(系统用于对象识别),如果已存在此对象,表示此机器已被感染,病毒进入无限休眠状态,未感染则注册Atom并创建300个病毒线程,当判断到系统默认的语言ID是中华人民共和国或中国台湾是,线程数猛增到600个,创建完毕后初始化病毒体内的一个随机数发生器,此发生器产生用于病毒感染的目标电脑IP地址。每个病毒线程每100毫秒就会向一随机地址的80端口发送一长度为3818字节的病毒传染数据包。完成上述工作后病毒将系统目录下的CMD.EXE文件分别复制到系统根目录\inetpub\scripts和系统根目录\progra~1\common~1\system\MSADC目录下,并取名为root.exe。然后从病毒体内释放出一个木马程序,复制到系统根目录下,并取名为explorer.exe,此木马运行后会调用系统原explorer.exe,运行效果和正常explorer程序无异,但注册表中的很多项已被修改。由于释放木马的代码是个循环,如果目的目录下explorer.exe发现被删,病毒又会释放出一个。
最后病毒休眠24小时(中文版为48小时)强行重起计算机。当病毒线程在判断日期大于2002年10月时,会立刻强行重起计算机。
警惕程度:★★★★
发作时间:随机
病毒类型:内存病毒
传播方式:内存
感染对象:内存
病毒介绍:
该病毒于3月13日由瑞星公司国内率先截获,它是给全球的企业和个人造成了26.2亿美元经济损失的“红色代码”病毒的改进版本!它攻击安装了IIS服务程序的win2000系统的计算机,本身无文件形式,只存在于内存中,同时分成数百份线程,在局域网内疯狂传播,瞬间导致被感染的网络瘫痪。网络用户只能选用有内存监控的反病毒产品,将全网的内存监控同时打开并进行全网统一杀毒才能清除该病毒。
“红色代码II”病毒代码首先会判断内存中是否以注册了一个名为CodeRedII的Atom(系统用于对象识别),如果已存在此对象,表示此机器已被感染,病毒进入无限休眠状态,未感染则注册Atom并创建300个病毒线程,当判断到系统默认的语言ID是中华人民共和国或中国台湾时,线程数猛增到600个,创建完毕后初始化病毒体内的一个随机数发生器,此发生器产生用于病毒感染的目标电脑IP地址。每个病毒线程每100毫秒就会向一随机地址的80端口发送一长度为3818字节的病毒传染数据包。巨大的病毒数据包使网络陷于瘫痪。
“红色代码II”病毒体内还包含一个木马程序,这意味着计算机黑客可以对受到入侵的计算机实施全程遥控,并使得“红色代码II”拥有前身无法比拟的可扩充性,只要病毒作者愿意,随时可更换此程序来达到不同的目的。
病毒的发现与清除:
红色代码病毒此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒,可以按照下面所说的方法手工清除“红色代码III(Junk.Codered.f)”病毒。
1. 病毒会在内存中建立300个到600个病毒线程,病毒在内存中疯狂传染时会导致系统资源被100%占用,计算机运行非常慢。
2. 如果月份大于等于10月时,病毒会强行重新启动计算机。
3. 病毒运行时会将系统目录下的CMD.EXE文件分别复制到系统根目录\inetpub\scripts和系统根目录\progra~1\common~1\system\MSADC目录下,并取名为root.exe。然后从病毒体内释放出一个木马程序,复制到系统根目录下,并取名为explorer.exe。
4. 病毒会修改相应的注册表项。
用户如果发现上述情况该很有可能是中了“红色代码III(Junk.Codered.f)”病毒,应该立刻拔掉网线,删除上述文件,给系统打上补丁,补丁应该是Server pack 2以上版本。
用户如果想彻底清除该病毒,也可以采用瑞星杀毒软件2003版进行清除, 对于有局域网的企事业单位,最好采用网络版进行全网监控与全网杀毒。
CODERED.F
别名:红色代码F
风险指数: low
病毒种类: 蠕虫
具破坏性:不会
趋势科技从日本和意大利收到大量感染报告,并在2001年3月12号下午9点发布黄色警报来控制这个病毒的传播。
这个蠕虫病毒类似于红色代码的其他变种,利用微软IIS远程缓存溢出获得系统权限。 并在这个感染的Web服务器上拷贝一个后门程序,给攻击者完全的访问权限,威胁网络安全.
这个蠕虫对Windows 95, 98, 和 ME 没有危害. Windows NT和2000 上没有IIS的用户也没有危害。 这个蠕虫紧紧影响没有打微软的MS01-033补丁的IIS服务器.
这个变种的区别仅仅是触发日期,CODERED.C 在低于2002的年份运行。然而这个病毒CODERED.F在低于34952的年份运行.
解决方案:
利用趋势的清理工具fix tool自动清理这个病毒.使用前请查看readme_codec.txt . 双击或者打开命令行来运行这个工具. 这个工具可以运行在Windows 2000 Servers (全部版本) 和Windows NT Servers. 如果您有MD5工具,这个清理工具的MD5签名是efd4640c93f637e0bf8a841496e5b389
请下载微软相应漏洞的安全补丁: MS01-033 patch 、MS01-044 patch
白宫、FBI、微软联手对付“红色代号”蠕虫
为了联手对付一个名为“红色代号”的蠕虫病毒,美国白宫、联邦调查局以及微软等各大公司的代表于美国当地时间2001年7月29日表示,他们准备于2001年7月30日向世界各大相关组织求救,共同对付这个蠕虫。“红色代号”蠕虫的破坏力极强,曾使包括美国国防部网站在内的多家著名网站被迫关闭。
据美国国家基础设施保护足以的主管迪克表示:“互联网已经成为经济健康发展及国家安全不可缺少的重要因素。象“红色代号”这样的蠕虫对互联网造成的伤害是显而易见的。”“红色代号”蠕虫与其它病毒类似,它能够迅速传播,并造成大范围的访问速度下降甚至阻断。
政府官员和微软公司的代表预计将于周一下午举行新闻发布会,对外界通报他们的努力成果。政府先前也同一些公司共同协作,通报黑客的攻击及新的病毒的情况。
虽然目前还不知道“红色代号”蠕虫确切的传播速度,但估计已经有上百万部计算机已被感染,仅在该蠕虫2001年7月19日开始发作的9个小时里,它就感染了35万多部计算机系统,其速度之快实属罕见。
“红色代号”蠕虫造成的破坏主要是修改网页,尽管现在还没有发现它能够删除数据库,但这种蠕虫具有修改文件的能力。
红色代号病毒已造成经济损失12亿美元
美国旧金山时间2001年7月31日晚上(北京时间2001年8月1日上午)消息,美国加州一家独立的研究机构Computer Economics 31日发表一份研究报告称,迄今为止于2001年7月19日首次爆发的“代号红色”病毒预计已造成经济损失12亿美元。
该研究机构副总裁米切尔-埃伯斯奇勒表示,这种病毒现已入侵了大约36万台服务器,由此造成的清理、监控以及检查费用已达到7.4亿美元。另外,与这种病毒入侵相关的经济效益损失预计已达4.5亿美元。这位副总裁表示:“聘请信息技术人员的价格不菲,很多公司此前已将技术维护外包给其他公司,因此他们每次必须支付300美元才能聘请到专业人士对遭到病毒入侵的服务器进行清理。”他还预计,估计还有600万台服务器有可能遭到“代号红色”病毒的攻击。
与此同时,由于上述病毒会对安装有视窗NT以及视窗2000操作系统的计算机进行攻击,微软表示病毒爆发后到网上下载其修补软件的人数已超过百万。
专家指出,只有等到这种病毒完全消失之后才能对其造成的经济损失进行全面的评估。“代号红色”病毒一般会在一个月的前20天里发动进攻,然后会在不确定的时间里处于休眠状态。但是,受到病毒进攻的计算机如果内部时间或日期出现错误,那么这种病毒爆发的期限极有可能延长。
埃伯斯奇勒表示,去年的“爱虫”病毒造成的经济损失高达87亿美元,另外1999爆发的“梅丽莎”病毒造成的经济损失也在10亿美元左右。
另外,Network Associates公司31日表示,该公司已对2万多个系统进行了扫瞄检查并已探测到至少1230台计算机仍然有可能遭到“代号红色”病毒的入侵。
专家称对“代号红色”病毒可以放松
美国联邦调查局(FBI)国家基础设施保护中心(NIPC)的主任罗纳德-迪克估计,受到这种新病毒攻击的计算机用户有可能被限制在150万名之内。他在2001年7月30日表示:“我们已注意到那些受到病毒攻击的计算机正在搜寻这种病毒的来源,如果所有的用户都采取最快的行动,那我们就可以将病毒的破坏力降至最小。”
日本东京一家计算机安全公司的主管戴维-佩里也表示,大多数计算机用户不必担心受到“代号红色”病毒的攻击。他说:“这种病毒不以电子邮件的形式进行传播,而且它也不会破坏计算机的硬盘,另外大多数用户的计算机中都没有安装有可能遭到病毒感染的软件。因此,计算机用户完全可以以一种放松的心情对待它。”
佩里还补充说,安装微软视窗95、视窗98以及视窗ME等操作系统的计算机大多不会感染“代号红色”病毒。
另一方面,美国加州EEye数字安全公司的首席反黑客官员马克-麦弗雷特却表示,家用电脑用户极有可能遭到“代号红色”病毒的入侵,他说;“这种病毒也许不会破坏计算机硬盘,但肯定会导致上网速度减缓。”
事实上,早在“代号红色”病毒被发现之前微软公司就已发布了用来弥补服务器安全缺陷的修补软件,但佩里表示:“一些服务器运营人员太懒了,他们没有及时安装上述修补软件,这正是导致这种病毒爆发的原因之一,不过这一次也许他们会吸取教训。”
Windows NT 4.0(中文版)补丁 http://www.rising.com.cn/register/productcheck/CHECKDOWNLOAD/SP/CHsQ300972i.exe
Windows 2000 Professional, Server and Advanced Server:(中文版) 补丁
http://www.rising.com.cn/register/productcheck/CHECKDOWNLOAD/SP/Q300972_W2k_SP3_x86_cn.exe
