IIS红色蠕虫病毒CodeRed介绍
病毒特征
红色蠕虫病毒利用微软web服务器IIS
4.0或5.0中index服务的安全缺陷,攻破目的机器,并通过自动扫描感染方式传播蠕虫。由于很多Windows NT系统和Windows
2000系统都缺省提供Web服务,因此该蠕虫的传播速度极快,大大地加重网络的通信负担,常常造成网络瘫痪。
该病毒发作的典型现象是:
(1) 网络上发现大量字节长度很小的HTTP数据包;
(2)
网络性能急剧下降,路由器、交换机等网络设备负载加重,甚至崩溃;
(3) Web Server上的访问日志出现大量类似如下的HTTP请求:
"GET
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858
%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u000
3%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0"
受影响的系统
红色蠕虫病毒影响以下的计算机系统:安装有IIS 4.0或者IIS 5.0的Microsoft Windows NT 4.0、Windows 2000;Cisco Call Manager, Unity Server, uOne, ICS7750, Building Broadband Service Manager;没有打过补丁的Cisco 600 series DSL路由器。
预防及恢复
最简单的处理方法:关闭IIS4.0或IIS5.0的WEB服务器,这样CodeRed病毒将无法感染你的机器。
一、立即采取以下两种安全防范措施之一,预防红色蠕虫病毒感染。
方法1:下载补丁软件,地址为:
Win2000:ftp://ftp.seu.edu.cn/Pub/System/OS/Win2k/Q300972_W2k_SP3_x86_cn.exe
方法2:把%windowsdir%(Windows安装目录)\system32中的idq.dll做备份,然后删除。
二、检察系统是否已被感染红色蠕虫病毒。如果在系统文件中发现有下列后门(木马)程序:C:\explorer.exe,D:\explorer.exe,则说明系统已经被病毒感染。
三、对于已经感染病毒的主机,按以下步骤手工消除病毒:
(1) 将该机器从网络上断开,以避免重复感染和感染其它机器。
(2)
立即停止IIS服务。打开控制面板,打开"服务",点击World Wide Web Publishing Service.
选择"已禁用"。
(3) 打开任务管理器,选择"进程"。检查是否进程中有两个"exploer.exe".如果您找到
两个"exploer.exe",说明木马已经在您的机器上运行了,您应当立刻杀掉木马程
序;否则,说明您还没有执行木马程序,您可以转到第四步。
(4) 在菜单中选择 查看| 选定列 |
线程计数,按确定。这时您会发现显示框中增加了新的一列"线程数"。检查两个"exploer.exe", 显示只有一个线程的"exploer.exe
"就是木马程序。您应当立刻结束这个进程。
(5)
重新启动机器,运行cmd,在cmd窗口中运行以下命令以删除蠕虫病毒留下的后门。
C:
CD C:\
ATTRIB -h
-s -r explorer.exe
Del explorer.exe
Del
C:\inetpub\scripts\root.exe
Del
C:\progra~1\Common~1\System\MSADC\Root.exe
D:
CD D:\
Attrib
-h -s -r explorer.exe
Del explorer.exe
Del
D:\inetpub\scripts\root.exe
Del
D:\progra~1\Common~1\System\MSADC\Root.exe
忽略其中任何错误。
(6)
修改被蠕虫改动过的注册表:
运行regedit
选择:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\W3SVC\Parameters\Virtual
Roots
选择/C,选择删除;选择/D,
选择删除。
选择:/MSADC,将217换为201。
选择:/scripts,将271换为201。
对于Windows
2000系统,需要打开:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\WinLogon
将SFCDisable改为0。
(7) 重新启动机器(使修改生效)。
查杀工具
CodeRedII简述
病毒特征:这是一个蠕虫木马双特型病毒。实际上和第一个CodeRed蠕虫病毒相比,这并不是一个简单的变种,与CodeRed相比,这个新蠕虫是极度危险的,因为它不是简单的修改主页,而是通过同样的IIS漏洞实现对一个木马文件的上载和运行。但它们使用的攻击方式是基本一样的,所以这样我们也可以用修补预防CodeRed的方式来预防CodeRedII。但是“CodeRedII” 和CodeRedI来比较,我们可以感觉到这是对中国黑客编写RED CODE的一个报复性产品,而且杀伤力大的多。
病毒检测与发作机理分析:
感染
第一次感染:
首先这个蠕虫会给自己建立一个环境,之后取得本地IP,用来分析子网掩码(将用来传播),并且确认当前系统没有被重复感染。之后判断当前操作系统的语言,是繁体中文还是简体中文。之后判断是否已经被CodeRed感染,如果是的话,这个进程将转入永远休眠。之后CodeRedII根据操作系统来增加线程,非中文系统为300条。如果是中文系统那么将打开600条线程。此时它把大量的繁殖线程转入后台,大规模的复制自己。(这些线程被用于向其他IP地址发送GET
.IDA漏洞请求)之后这个它将在系统中安装一个特洛伊木马。CodeRedII的潜伏期,如果是非中文操作系统他会潜伏1天,对于中文系统它会潜伏2天。
传播
用来进一步传播这个蠕虫,就是它会设置一个本地 IP_STORAGE
变量用来储存本地IP,这个变量用于确定机器不会被重复感染。之后获取系统时间,如果当前时间在2002年后,或者月份在10月以后,那么这个蠕虫将重起计算机,这样就将转播可能限制在3个月内。之后蠕虫开始按一定规律生成目标主机IP地址并试图连接一个远程主机,如果能建立连接那么立刻去试图感染对方主机。
特洛伊程序
该蠕虫会有计划地把cmd.exe 以root.exe的名字复制到msadc 和scripts
目录下,更名为root.exe,成为了一个可怕的后门。(cmd.exe是黑客攻击NT时梦寐以求的东西,好比UNIX
SHELL)。并且将蠕虫中包含的一段2进制代码拆离成件名为explore.exe的木马到本地的驱动器(c:\和d:\)。
这个后门,可能会通过修改注册表,把你的c:\,d:\变成iis的虚拟目录。以上两点都是非常可怕的后门。