基本介紹
- 中文名:代號紅色2病毒
- 種類:蠕蟲木馬雙特型病毒
- 首次發現時間:2001年8月4日
- 性質:病毒
出現,病毒介紹,感染,傳播,特洛伊程式,清除,
出現
從病毒觀察網站傳來訊息,2001年8月4日才出現的“代號紅色”2(RED CODE II)病毒從八月四日起就在陸續在國內出現,到今天在國內已經泛濫成災。8月6日中午11:43分,病毒觀察網站獲取到樣本後,安排專人進行了反彙編分析,弄清了病毒的機理。並在當晚,發布了一個防毒的小工具killrc2.exe。以下是轉自病毒觀察網站的部分訊息,你也可以隨時去病毒觀察網站察看最新進展,
本站也將為大家提供對此病毒儘量全面的訊息。
病毒介紹
這個分析被分成3 部分:
感染
傳播
特洛伊木馬程式
RED CODE II的攻擊原理和最初的RED CODE 一樣,所以修複方法和RED CODE I是一樣的
微軟公司安全補丁下載頁面:
如果想檢查你的機器是否被感染,你可以看看下列檔案是不是存在:
c:\explorer.exe 或 d:\explorer.exe
你IIS的script 資料夾和資料夾msadc中是否有ROOT.EXE這個檔案。
如果有的話則你很可能是已經被感染了。
注意:以前曾有一個叫做 sadmin unicode 的蠕蟲,也會吧CMD.EXE檔案改名為root.exe ,所以不能只憑是否有ROOT.EXE存在來判斷是否已經中毒。
感染
第一次感染: 首先這個蠕蟲會給自己建立一個環境,之後取得本地IP,用來分析子網掩碼(將用來傳播),並且確認當前系統沒有被重複感染。之後判斷當前作業系統的語言,是繁體中文還是簡體中文。之後判斷是否已經被RED CODE感染,如果是的話,這個進程將轉入永遠休眠。
之後RED CODE II根據作業系統來增加執行緒,非中文系統為300條。如果是中文系統那么將打開600條執行緒。此時它把大量的繁殖執行緒轉入後台,大規模的複製自己。(這些執行緒被用於向其他IP位址傳送GET .IDA漏洞請求,)之後這個它將在系統中安裝一個特洛伊木馬。
RED CODE II的潛伏期,如果是非中文作業系統他會潛伏1天,對於中文系統它會潛伏2天。
傳播
特洛伊程式
蠕蟲會有計畫的把cmd.exe 以root.exe的名字複製到msadc 和scripts 目錄下,更名為root.exe,成為了一個可怕的後門。(cmd.exe是黑客攻擊NT時夢寐以求的東西,好比UNIX SHELL)。並且將蠕蟲中包含的一段2進制代碼拆離成件名為explore.exe的木馬到本地的驅動器(c:\和d:\)。
清除
請用病毒觀察獨家提供的查殺工具RedCode 2 KILLER檢測清除。
可以 清除redcode II,修復redcode II造成的安全隱患,並為系統提供一個簡單的打補丁,打補丁後無論是redcode還是redcode II,以及其他利用這個漏洞的蠕蟲都不能感染你的系統。
如果您的系統未被感染,提醒您立刻瀏覽微軟中國網站這裡有詳細的防護方法。