“紅色代碼”病毒是一種新型網路病毒,其傳播所使用的技術可以充分體現網路時代網路安全與病毒的巧妙結合,將網路蠕蟲、計算機病毒、木馬程式合為一體,開創了網路病毒傳播的新路,可稱之為劃時代的病毒。
基本介紹
- 中文名:“紅色代碼”病毒
- 類型:新型網路病毒
- 傳播平台:網際網路
紅色代碼II(Code redII v)病毒分析
--------------------------------------------------------------------------------
Code Red蠕蟲能夠迅速傳播,並造成大範圍的訪問速度下降甚至阻斷。“紅色代碼”蠕蟲造成的破壞主要是塗改網頁,對網路上的其它伺服器進行攻擊,被攻擊的伺服器又可以繼續攻擊其它伺服器。在每月的20-27日,向特定IP位址198.137.240.91(www.whitehouse.gov)發動攻擊。病毒最初於7月19日首次爆發,7月31日該病毒再度爆發,但由於大多數計算機用戶都提前安裝了修補軟體,所以該病毒第二次爆發的破壞程度明顯減弱
Code Red採用了一種叫做"快取區溢出"的黑客技術,利用網路上使用微軟IIS系統的伺服器來進行病毒的傳播。這個蠕蟲病毒使用伺服器的連線埠80進行傳播,而這個連線埠正是Web伺服器與瀏覽器進行信息交流的渠道。Code Red主要有如下特徵:入侵IIS伺服器,code red會將WWW英文站點改寫為“Hello! Welcome to www.Worm.com! Hacked by Chinese!”;
與其它病毒不同的是,Code Red並不將病毒信息寫入被攻擊伺服器的硬碟。它只是駐留在被攻擊伺服器的記憶體中,並藉助這個伺服器的網路連線攻擊其它的伺服器。
“紅色代碼2”是“紅色代碼”的改良版,病毒作者對病毒體作了很多最佳化,同樣可以對“紅色代碼”病毒可攻擊的聯網計算機發動進攻,但與“紅色代碼”不同的是,這種新變型不僅僅只對英文系統發動攻擊,而是攻擊任何語言的系統。而且這種病毒還可以在遭到攻擊的機器上植入“特洛伊木馬”,使得被攻擊的機器“後門大開”。“紅色代碼2”擁有極強的可擴充性,通過程式自行完成的木馬植入工作,使得病毒作者可以通過改進此程式來達到不同的破壞目的。當機器日期大於2002年10月時,病毒將強行重起計算機。
1.病毒依賴的系統:WinNT/2000(安裝且運行了IIS服務程式)
2.病毒的感染:通過IIS漏洞,使IIS服務程式處理請求數據包時溢出,導致把此“數據包”當作代碼運行。病毒駐留後再次通過此漏洞感染其它伺服器。
3.病毒的發作:強行重起計算機
4.其他信息:
CodeRedII(紅色代碼2)是CodeRed(紅色代碼)的改進版。它不同於以往的檔案型病毒和引導型病毒,只存在於記憶體,傳染時不通過檔案這一常規載體,直接從一台電腦記憶體到另一台電腦記憶體。和CodeRed不同的是CodeRedII病毒體內還包含一個木馬程式,這使得CodeRedII擁有前身無法比擬的可擴充性,只要病毒作者願意,隨時可更換此程式來達到不同的目的。
5.程式流程:
當本地IIS服務程式收到某個來自CodeRedII發的請求數據包時,由於存在漏洞,導致處理函式的堆疊溢出(Overflow)。當函式返回時,原返回地址已被病毒數據包覆蓋,程式運行線跑到病毒數據包中,此時病毒被激活,並運行在IIS服務程式的堆疊中。
病毒代碼首先會判斷記憶體中是否以註冊了一個名為CodeRedII的Atom(系統用於對象識別),如果已存在此對象,表示此機器已被感染,病毒進入無限休眠狀態,未感染則註冊Atom並創建300個病毒執行緒,當判斷到系統默認的語言ID是中華人民共和國或中國台灣是,執行緒數猛增到600個,創建完畢後初始化病毒體內的一個隨機數發生器,此發生器產生用於病毒感染的目標電腦IP位址。每個病毒執行緒每100毫秒就會向一隨機地址的80連線埠傳送一長度為3818位元組的病毒傳染數據包。完成上述工作後病毒將系統目錄下的CMD.EXE檔案分別複製到系統根目錄\inetpub\scripts和系統根目錄\progra~1\common~1\system\MSADC目錄下,並取名為root.exe。然後從病毒體內釋放出一個木馬程式,複製到系統根目錄下,並取名為explorer.exe,此木馬運行後會調用系統原explorer.exe,運行效果和正常explorer程式無異,但註冊表中的很多項已被修改。由於釋放木馬的代碼是個循環,如果目的目錄下explorer.exe發現被刪,病毒又會釋放出一個。
最後病毒休眠24小時(中文版為48小時)強行重起計算機。當病毒執行緒在判斷日期大於2002年10月時,會立刻強行重起計算機。
紅色代碼(Code red)病毒分析
--------------------------------------------------------------------------------
發現日期:2001/7/18
別名:W32/Bady.worm
該蠕蟲感染運行Microsoft Index Server 2.0的系統,或是在Windows 2000、IIS中啟用了Indexing Service(索引服務)的系統。該蠕蟲利用了一個緩衝區溢出漏洞進行傳播(未加限制的Index Server ISAPI Extension緩衝區使WEB伺服器變的不安全)。蠕蟲只存在於記憶體中,並不向硬碟中拷檔案。
蠕蟲的傳播是通過TCP/IP協定和連線埠80,利用上述漏洞蠕蟲將自己作為一個TCP/IP流直接傳送到染毒系統的緩衝區,蠕蟲依次掃描WEB,以便能夠感染其他的系統。一旦感染了當前的系統,蠕蟲會檢測硬碟中是否存在c:\notworm,如果該檔案存在,蠕蟲將停止感染其他主機。
蠕蟲會“強制”web頁 中包含下面的代碼:
<html><head><meta http-equiv="Content-Type" content="text/html;charset=English">
<title>HELLO!</title></head><bady><hr size=5>
<fontcolor="red">
<p align="center">Welcome to http://www.worm.com !<br><br>
HackedBy Chinese!</font></hr><
/bady></html>
該頁面的顯示結果為:
Welcome to http://www.worm.com !
Hacked By Chinese!
