電腦病毒名,該病毒利用IIS的緩衝區溢出漏洞,通過TCP的80連線埠傳播,並且該病毒變種在感染系統後會釋放出黑客程式。
基本介紹
- 中文名:CODERED.C
- 外文名:CODERED.C
- 類型:電腦病毒名
- 傳播連線埠:TCP的80連線埠
由於Microsoft公司Windows NT和2000中的Index Service服務與其IIS服務間的接口程式-Indexing Service ISAPI中含有一個"緩衝區溢出"漏洞,致使黑客可以向IIS發出一段惡意請求,導致受攻擊系統的緩衝區溢出,從而使攻擊者獲得對系統的完全控制許可權。CodeRedII病毒正是利用該系統漏洞來對系統進行攻擊。
CODERED.C只能對安裝有IIS服務的Windows 2000系統產生長期有效的病毒攻擊行為,而對於WindowsNT系統,它將直接導致系統的崩潰。
該蠕蟲在系統記憶體中搜尋KERNEL32.DLL 的位置, 然後找到GetProcAddress API。同時它也搜尋其它所需使用到的API 或程式。所需的庫檔案名稱稱為:
WS2_32.DLL - Winsock V 2.0
ADVAPI32.DLL - 用來操縱系統註冊表
USER32.DLL - 用來使系統重啟和其它的一些功能
接著該蠕蟲會將 %windir%\CMD.EXE 檔案複製到以下路徑:
C:\INETPUB\SCRIPTS\ROOT.EXE
C:\PROGRA~1\COMMON~1\SYSTEM\MSADC\ROOT.EXE
D:\INETPUB\SCRIPTS\ROOT.EXE
D:\PROGRA~1\COMMON~1\SYSTEM\MSADC\ROOT.EXE
然後病毒在根目錄下釋放一個木馬程式 - EXPLORER.EXE 檔案(Trend Micro的防毒產品將該檔案命名為TROJ_CODERED.C),如C:\EXPLORER.EXE。
該木馬程式將使攻擊者享有對系統的完全控制許可權。因為系統將優先執行根目錄下的EXPLORER.EXE,而非系統本身的EXPLORER.EXE。
同時該蠕蟲會修改註冊表內的鍵值以廢除登錄時系統的安全保護:
HKLM\Software/Microsoft\Windows NT\
Current Version\WinLogon\SFCDisable
並且創建以下的註冊鍵:
HKLM\SYSTEM\CurrentControlSet\Services\
W3SVC\Parameters\Virtual Roots\
/Scripts = %rootdir%\inetpub\scripts,,204
/MSADC = %rootdir%\program files\common files\system\msadc,,205
/C = C:\,,217
/D = D:\,,217
