| 词条 | “红色代码”病毒 |
| 释义 | § 简介 “红色代码”病毒 “红色代码”病毒是一种新型网络病毒,其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合,将网络蠕虫、计算机病毒、木马程序合为一体,开创了网络病毒传播的新路,可称之为划时代的病毒。 § 红色代码II(Code redII)病毒分析 -------------------------------------------------------------------------------- Code Red蠕虫能够迅速传播,并造成大范围的访问速度下降甚至阻断。“红色代码”蠕虫造成的破坏主要是涂改网页,对网络上的其它服务器进行攻击,被攻击的服务器又可以继续攻击其它服务器。在每月的20-27日,向特定IP地址198.137.240.91(www.whitehouse.gov)发动攻击。病毒最初于7月19日首次爆发,7月31日该病毒再度爆发,但由于大多数计算机用户都提前安装了修补软件,所以该病毒第二次爆发的破坏程度明显减弱 Code Red采用了一种叫做"缓存区溢出"的黑客技术,利用网络上使用微软IIS系统的服务器来进行病毒的传播。这个蠕虫病毒使用服务器的端口80进行传播,而这个端口正是Web服务器与浏览器进行信息交流的渠道。Code Red主要有如下特征:入侵IIS服务器,code red会将WWW英文站点改写为“Hello! Welcome to www.Worm.com! Hacked by Chinese!”; 与其它病毒不同的是,Code Red并不将病毒信息写入被攻击服务器的硬盘。它只是驻留在被攻击服务器的内存中,并借助这个服务器的网络连接攻击其它的服务器。 “红色代码2”是“红色代码”的改良版,病毒作者对病毒体作了很多优化,同样可以对“红色代码”病毒可攻击的联网计算机发动进攻,但与“红色代码”不同的是,这种新变型不仅仅只对英文系统发动攻击,而是攻击任何语言的系统。而且这种病毒还可以在遭到攻击的机器上植入“特洛伊木马”,使得被攻击的机器“后门大开”。“红色代码2”拥有极强的可扩充性,通过程序自行完成的木马植入工作,使得病毒作者可以通过改进此程序来达到不同的破坏目的。当机器日期大于2002年10月时,病毒将强行重起计算机。 1.病毒依赖的系统:WinNT/2000(安装且运行了IIS服务程序) 2.病毒的感染:通过IIS漏洞,使IIS服务程序处理请求数据包时溢出,导致把此“数据包”当作代码运行。病毒驻留后再次通过此漏洞感染其它服务器。 3.病毒的发作:强行重起计算机 4.其他信息: CodeRedII(红色代码2)是CodeRed(红色代码)的改进版。它不同于以往的文件型病毒和引导型病毒,只存在于内存,传染时不通过文件这一常规载体,直接从一台电脑内存到另一台电脑内存。和CodeRed不同的是CodeRedII病毒体内还包含一个木马程序,这使得CodeRedII拥有前身无法比拟的可扩充性,只要病毒作者愿意,随时可更换此程序来达到不同的目的。 5.程序流程: 当本地IIS服务程序收到某个来自CodeRedII发的请求数据包时,由于存在漏洞,导致处理函数的堆栈溢出(Overflow)。当函数返回时,原返回地址已被病毒数据包覆盖,程序运行线跑到病毒数据包中,此时病毒被激活,并运行在IIS服务程序的堆栈中。 病毒代码首先会判断内存中是否以注册了一个名为CodeRedII的Atom(系统用于对象识别),如果已存在此对象,表示此机器已被感染,病毒进入无限休眠状态,未感染则注册Atom并创建300个病毒线程,当判断到系统默认的语言ID是中华人民共和国或中国台湾是,线程数猛增到600个,创建完毕后初始化病毒体内的一个随机数发生器,此发生器产生用于病毒感染的目标电脑IP地址。每个病毒线程每100毫秒就会向一随机地址的80端口发送一长度为3818字节的病毒传染数据包。完成上述工作后病毒将系统目录下的CMD.EXE文件分别复制到系统根目录\\inetpub\\scripts和系统根目录\\progra~1\\common~1\\system\\MSADC目录下,并取名为root.exe。然后从病毒体内释放出一个木马程序,复制到系统根目录下,并取名为explorer.exe,此木马运行后会调用系统原explorer.exe,运行效果和正常explorer程序无异,但注册表中的很多项已被修改。由于释放木马的代码是个循环,如果目的目录下explorer.exe发现被删,病毒又会释放出一个。 最后病毒休眠24小时(中文版为48小时)强行重起计算机。当病毒线程在判断日期大于2002年10月时,会立刻强行重起计算机。 |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。