反饋

紅色代碼

（網絡病毒）

“紅色代碼”病毒是2001年7月15日發現的一種網絡蠕蟲病毒，感染運行Microsoft IIS Web服務器的計算機。其傳播所使用的技術可以充分體現網絡時代網絡安全與病毒的巧妙結合，將網絡蠕蟲、計算機病毒、木馬程序合為一體，開創了網絡病毒傳播的新路，可稱之為劃時代的病毒。如果稍加改造，將是非常致命的病毒，可以完全取得所攻破計算機的所有權限並為所欲為，可以盜走機密數據，嚴重威脅網絡安全。^[1]

中文名: 紅色代碼
外文名: Code Red
技術名: CRv1和CRv2

類型: 服務器蠕蟲病毒
發現日期: 2001-07-15
程序類型: 計算機病毒
感染對象: Microsoft IIS Web服務器

紅色代碼名稱由來

紅色病毒首先被eEye Digital Security公司的僱員Marc Maiffret和Ryan Permeh發現並研究。他們將其命名為“Code Red”，因為他們當時在喝Code Red Mountain Dew。^[2]

Code Red Mountain Dew

紅色代碼病毒原理

刪除“紅色代碼”病毒

“紅色代碼”蠕蟲採用了一種叫做"緩存區溢出"的黑客技術，利用微軟IIS的漏洞^[3] 進行病毒的感染和傳播。該病毒利用HTTP協議, 向IIS服務器的端口80發送一條含有大量亂碼的GET請求，目的是造成該系統緩存區溢出，獲得超級用户權限，然後繼續使用HTTP 向該系統送出ROOT.EXE木馬程序，並在該系統運行，使病毒可以在該系統內存駐留，並繼續感染其他IIS系統。Code Red 在向侵害對象發送GET 亂碼時，總是在亂碼前加上一個後綴為.ida的文件名，表示它正在請求該文件，這是紅色代碼的重要特徵。^[1]

紅色代碼運行過程

設置運行環境。首先修改堆棧指針，設置堆大小為0218H字節。接着使用RVA( 相對虛擬地址) 查找Get Proc Address的函數地址，再調用此函數獲得其他函數的地址，如socket，connect，send，recv，close socket 等。
如果C: \ not worm 文件存在，則不進一步傳染其他主機。
傳染其他主機。創建100 個線程, 其中99 個線程用於感染其他的Web 服務器。通過一個算法來計算出一系列的IP地址作為傳染目標。按照IP地址的生成算法, 能夠產生重複傳染的情況, 從而在這些服務器之間傳輸大量的數據而消耗其網絡帶寬, 達到拒絕服務攻擊的效果。
篡改主頁。如果系統的默認語言不為美國英語( 代碼頁不等於0x 409) , 第100 個線程和前99 個線程一樣去感染其他系統。否則會篡改系統的網頁, 被感染的Web 服務器的網頁將被篡改成某條消息。這個消息持續10 h 後會消失。與其他通過網絡攻擊篡改網頁的方法不同, 該病毒並不修改磁盤上的主頁文件, 而是修改w3svc.dll 的TcpSockSend 入口指向病毒代碼, 當瀏覽器訪問這個被感染的 Web 服務器時, TcpSockSend 返回前述的篡改消息。
產生對電腦的白宮的拒絕服務攻擊。每一蠕蟲線程都會檢查C: \ not worm文件。如果文件存在，則轉為休眠，否則檢查當前時間，如果時間在20: 00UTC 和23: 59 UTC 之間，將對白宮進行攻擊。創建一個socket 並與白宮網站的80端口建立連接，併發送18000H ( 98 K 字節)的數據。在休眠大約415h 後，再次重複發送數據。由於在全世界範圍內有大量Web 服務器被感染，其結果就可能會產生對白宮網站的拒絕服務攻擊。^[1]

紅色代碼病毒破壞力

篡改被感染的網站，使其顯示上節中提到的消息。

蠕蟲病毒的活動一般與時間相關，根據系統時間不同會採取不同的活動：

1-19天

通過查找網絡上更多地IIS服務器嘗試自我傳播。

20-27天

對幾個固定的IP地址發動拒絕服務攻擊，包括白宮的IP地址。

28天到月末

休眠，沒有攻擊活動。

^[4]

紅色代碼判別方法

檢查服務器日誌

檢查web服務器的日誌文件，如果出現下面的字符串，則表示可能遭到紅色代碼病毒的攻擊：

GET/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=aHTTP/1.0

^[4]

檢查端口

如果在1025 以上端口出現很多SYN SENT 連接請求，或者1025 號以上的大量端口處於listening狀態，那麼你的機子也是已經遭受紅色代碼病毒的感染。^[1]

檢查文件

如果在以下目錄中存在Root.exe文件, 則説明已經感染紅色代碼病毒：

C:/inetpub/scripts/Root.exe
D:/inetpub/scripts/Root.exe
C:/program Files/common file/system/MSADC/Root.exe
D:/program Files/common file/system/MSADC/Root.exe
C:/explorer.exe
D:/explorer.exe

^[1]

紅色代碼清除方法

(1) 結束進程explorer.exe

有兩個explorer進程。關閉其中線程計數為1 的進程。

(2) 刪除上節“檢查文件”中列出的文件

( 3) 打開“計算機管理”、"服務和應用程序"、"默認應用程序"，默認web 站點，刪除其中的C和D的共享。

( 4) 修改如下註冊表鍵值

HKEY-LOCAL-MACHINE/SYSTEM/Currentcontrolset/Services/w3svc/parameters/virtua/roots

刪除其中的/C, /D, 並將其中/ MSADC和scripts的值217

刪除HKEY-LOCAL-MACHINE/Software/Microsoft/windowsNT/currentversion/winlogon

將其中的CFSDisable的值還原為0。

( 5) 更新最新的操作系統補丁。重啓計算機即可。

^[1]

紅色代碼病毒變種

紅色代碼紅色代碼II

紅色代碼II病毒不同於以往的文件型病毒和引導型病毒，它只存在於內存中，傳染時不通過文件這一常規載體，可以直接從一台電腦內存感染到另外一台電腦的內存，並且它採用隨機產生IP地址的方式，搜索未被感染的計算機，每個病毒每天能夠掃描40 萬個IP地址，因而其傳染性特別強。一旦病毒感染了計算機後，會釋放出一個特洛伊木馬程序，為入侵者大開方便之門，黑客可以對被感染的計算機進行全程遙控。且紅色代碼II病毒不僅能感染英文Windows2000和NT，同時也可以感染中文操作系統。^[1]

“紅色代碼II”蠕蟲代碼首先會判斷內存中是否以註冊了一個名為CodeRedII的Atom(系統用於對象識別)，如果已存在此對象，表示此機器已被感染，蠕蟲進入無限休眠狀態，未感染則註冊Atom並創建300個惡意線程，當判斷到系統默認的語言ID是中華人民共和國或中國台灣時，線程數猛增到600個，創建完畢後初始化蠕蟲體內的一個隨機數生成器(Rundom Number Generator)，此生成器隨機產生IP地址讓被蠕蟲去發現這些IP地址對應的機器的漏洞並感染之。每個蠕蟲線程每100毫秒就會向一隨機地址的80端口發送一長度為3818字節的病毒傳染數據包。巨大的蠕蟲數據包使網絡陷於癱瘓。^[1]

紅色代碼紅色代碼III

紅色代碼三代病毒允許黑客擁有遠程訪問web 服務器的完全權限。紅色代碼三代發現於2001年8月4日，因為它同樣利用緩存溢出對其他網絡服務進行傳播，所以被稱為原紅色代碼病毒的變種。紅色代碼三代具有很高的危險性，紅色代碼蠕蟲病毒會感染運行微軟index server 2.0 或windows 2000 索引服務的系統，它只會威脅到在windos NT和windows 2000操作系統上運行IIS 4.0和IIS 5.0的計算機。紅色代碼三代能夠建立超過300個進程來尋找其他容易被攻擊的服務器以進行傳播。紅色代碼三代能探測更多的IP地址，這引起Internet 訪問量的增加和網絡速度的下降。^[1]

參考資料

1. 柳菲. 紅色代碼病毒及其變體的防殺策略[J]. 江蘇: 淮海工學院學報（自然科學版）. 2007,16(1)
2. Marc Maiffret--the quick rise of a teen hacker (Q&A) ．cnet．2010-04-15[引用日期2014-11-09]
3. Buffer Overflow In IIS Indexing Service DLL ．CERT．2001-07-19[引用日期2014-11-09]
4. "Code Red" Worm Exploiting Buffer Overflow In IIS Indexing Service DLL ．CERT．2001-07-19[引用日期2014-11-09]

紅色代碼的概述圖（1張）

詞條統計

瀏覽次數：次
編輯次數：35次歷史版本
最近更新：显微镜6kfs7qu （2023-07-05）

1 名稱由來
2 病毒原理
3 運行過程
4 病毒破壞力
5 判別方法
6 清除方法
7 病毒變種: 7.1 紅色代碼II; 7.2 紅色代碼III