-
紅色代碼
(網絡病毒)
鎖定
- 中文名
- 紅色代碼
- 外文名
- Code Red
- 技術名
- CRv1和CRv2
- 類 型
- 服務器蠕蟲病毒
- 發現日期
- 2001-07-15
- 程序類型
- 計算機病毒
- 感染對象
- Microsoft IIS Web服務器
紅色代碼名稱由來
紅色病毒首先被eEye Digital Security公司的僱員Marc Maiffret和Ryan Permeh發現並研究。他們將其命名為“Code Red”,因為他們當時在喝Code Red Mountain Dew。
[2]
紅色代碼病毒原理
“紅色代碼”蠕蟲採用了一種叫做"緩存區溢出"的黑客技術, 利用微軟IIS的漏洞
[3]
進行病毒的感染和傳播。該病毒利用HTTP協議, 向IIS服務器的端口80發送一條含有大量亂碼的GET請求,目的是造成該系統緩存區溢出, 獲得超級用户權限,然後繼續使用HTTP 向該系統送出ROOT.EXE木馬程序,並在該系統運行,使病毒可以在該系統內存駐留, 並繼續感染其他IIS系統。Code Red 在向侵害對象發送GET 亂碼時,總是在亂碼前加上一個後綴為.ida的文件名,表示它正在請求該文件, 這是紅色代碼的重要特徵。
[1]
紅色代碼運行過程
- 如果C: \ not worm 文件存在,則不進一步傳染其他主機。
紅色代碼病毒破壞力
篡改被感染的網站,使其顯示上節中提到的消息。
蠕蟲病毒的活動一般與時間相關,根據系統時間不同會採取不同的活動:
1-19天
通過查找網絡上更多地IIS服務器嘗試自我傳播。
20-27天
28天到月末
休眠,沒有攻擊活動。
紅色代碼判別方法
檢查服務器日誌
檢查web服務器的日誌文件,如果出現下面的字符串,則表示可能遭到紅色代碼病毒的攻擊:
GET/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=aHTTP/1.0
檢查端口
檢查文件
如果在以下目錄中存在Root.exe文件, 則説明已經感染紅色代碼病毒:
- C:/inetpub/scripts/Root.exe
- D:/inetpub/scripts/Root.exe
- C:/program Files/common file/system/MSADC/Root.exe
- D:/program Files/common file/system/MSADC/Root.exe
- C:/explorer.exe
- D:/explorer.exe
紅色代碼清除方法
(1) 結束進程explorer.exe
有兩個explorer進程。關閉其中線程計數為1 的進程。
(2) 刪除上節“檢查文件”中列出的文件
( 3) 打開“計算機管理”、"服務和應用程序"、"默認應用程序",默認web 站點,刪除其中的C和D的共享。
( 4) 修改如下註冊表鍵值
HKEY-LOCAL-MACHINE/SYSTEM/Currentcontrolset/Services/w3svc/parameters/virtua/roots
刪除其中的/C, /D, 並將其中/ MSADC和scripts的值217
刪除HKEY-LOCAL-MACHINE/Software/Microsoft/windowsNT/currentversion/winlogon
將其中的CFSDisable的值還原為0。
( 5) 更新最新的操作系統補丁。重啓計算機即可。
紅色代碼病毒變種
紅色代碼紅色代碼II
紅色代碼II病毒不同於以往的文件型病毒和引導型病毒,它只存在於內存中,傳染時不通過文件這一常規載體,可以直接從一台電腦內存感染到另外一台電腦的內存,並且它採用隨機產生IP地址的方式,搜索未被感染的計算機,每個病毒每天能夠掃描40 萬個IP地址,因而其傳染性特別強。一旦病毒感染了計算機後,會釋放出一個 特洛伊木馬程序,為入侵者大開方便之門,黑客可以對被感染的計算機進行全程遙控。且紅色代碼II病毒不僅能感染英文Windows2000和NT,同時也可以感染中文操作系統。
[1]
“紅色代碼II”蠕蟲代碼首先會判斷內存中是否以註冊了一個名為CodeRedII的Atom(系統用於對象識別),如果已存在此對象,表示此機器已被感染,蠕蟲進入無限休眠狀態,未感染則註冊Atom並創建300個惡意線程,當判斷到系統默認的語言ID是中華人民共和國或中國台灣時,線程數猛增到600個,創建完畢後初始化蠕蟲體內的一個隨機數生成器(Rundom Number Generator),此生成器隨機產生IP地址讓被蠕蟲去發現這些IP地址對應的機器的漏洞並感染之。每個蠕蟲線程每100毫秒就會向一隨機地址的80端口發送一長度為3818字節的病毒傳染數據包。巨大的蠕蟲數據包使網絡陷於癱瘓。
[1]
紅色代碼紅色代碼III
紅色代碼三代病毒允許黑客擁有遠程訪問web 服務器的完全權限。紅色代碼三代發現於2001年8月4日,因為它同樣利用緩存溢出對其他網絡服務進行傳播,所以被稱為原紅色代碼病毒的變種。紅色代碼三代具有很高的危險性,紅色代碼蠕蟲病毒會感染運行微軟index server 2.0 或windows 2000索引服務的系統, 它只會威脅到在windos NT和windows 2000操作系統上運行IIS 4.0和IIS 5.0的計算機。紅色代碼三代能夠建立超過300個進程來尋找其他容易被攻擊的服務器以進行傳播。紅色代碼三代能探測更多的IP地址,這引起Internet 訪問量的增加和網絡速度的下降。
[1]
- 參考資料
-
- 1. 柳菲. 紅色代碼病毒及其變體的防殺策略[J]. 江蘇: 淮海工學院學報(自然科學版). 2007,16(1)
- 2. Marc Maiffret--the quick rise of a teen hacker (Q&A) .cnet.2010-04-15[引用日期2014-11-09]
- 3. Buffer Overflow In IIS Indexing Service DLL .CERT.2001-07-19[引用日期2014-11-09]
- 4. "Code Red" Worm Exploiting Buffer Overflow In IIS Indexing Service DLL .CERT.2001-07-19[引用日期2014-11-09]