设为首页
当前位置:首页 > 网络 >> 病毒预报 >>> 文章内容



红色代码II(Code redII)病毒分析


来源:瑞星公司    时间:2004-11-29   阅读991次

  Code Red蠕虫能够迅速传播,并造成大范围的访问速度下降甚至阻断。“红色代码”蠕虫造成的破坏主要是涂改网页,对网络上的其它服务器进行攻击,被攻击的服务器又可以继续攻击其它服务器。在每月的20-27日,向特定IP地址198.137.240.91(www.whitehouse.gov)发动攻击。病毒最初于7月19日首次爆发,7月31日该病毒再度爆发,但由于大多数计算机用户都提前安装了修补软件,所以该病毒第二次爆发的破坏程度明显减弱
   
    Code Red采用了一种叫做"缓存区溢出"的黑客技术,利用网络上使用微软IIS系统的服务器来进行病毒的传播。这个蠕虫病毒使用服务器的端口80进行传播,而这个端口正是Web服务器与浏览器进行信息交流的渠道。Code Red主要有如下特征:入侵IIS服务器,code red会将WWW英文站点改写为“Hello! Welcome to www.Worm.com! Hacked by Chinese!”;
   
    与其它病毒不同的是,Code Red并不将病毒信息写入被攻击服务器的硬盘。它只是驻留在被攻击服务器的内存中,并借助这个服务器的网络连接攻击其它的服务器。
   
    “红色代码2”是“红色代码”的改良版,病毒作者对病毒体作了很多优化,同样可以对“红色代码”病毒可攻击的联网计算机发动进攻,但与“红色代码”不同的是,这种新变型不仅仅只对英文系统发动攻击,而是攻击任何语言的系统。而且这种病毒还可以在遭到攻击的机器上植入“特洛伊木马”,使得被攻击的机器“后门大开”。“红色代码2”拥有极强的可扩充性,通过程序自行完成的木马植入工作,使得病毒作者可以通过改进此程序来达到不同的破坏目的。当机器日期大于2002年10月时,病毒将强行重起计算机。
   
    1.病毒依赖的系统:WinNT/2000(安装且运行了IIS服务程序)
    2.病毒的感染:通过IIS漏洞,使IIS服务程序处理请求数据包时溢出,导致把此“数据包”当作代码运行。病毒驻留后再次通过此漏洞感染其它服务器。
    3.病毒的发作:强行重起计算机
    4.其他信息:
    CodeRedII(红色代码2)是CodeRed(红色代码)的改进版。它不同于以往的文件型病毒和引导型病毒,只存在于内存,传染时不通过文件这一常规载体,直接从一台电脑内存到另一台电脑内存。和CodeRed不同的是CodeRedII病毒体内还包含一个木马程序,这使得CodeRedII拥有前身无法比拟的可扩充性,只要病毒作者愿意,随时可更换此程序来达到不同的目的。
    5.程序流程:
    当本地IIS服务程序收到某个来自CodeRedII发的请求数据包时,由于存在漏洞,导致处理函数的堆栈溢出(Overflow)。当函数返回时,原返回地址已被病毒数据包覆盖,程序运行线跑到病毒数据包中,此时病毒被激活,并运行在IIS服务程序的堆栈中。
    病毒代码首先会判断内存中是否以注册了一个名为CodeRedII的Atom(系统用于对象识别),如果已存在此对象,表示此机器已被感染,病毒进入无限休眠状态,未感染则注册Atom并创建300个病毒线程,当判断到系统默认的语言ID是中华人民共和国或中国台湾是,线程数猛增到600个,创建完毕后初始化病毒体内的一个随机数发生器,此发生器产生用于病毒感染的目标电脑IP地址。每个病毒线程每100毫秒就会向一随机地址的80端口发送一长度为3818字节的病毒传染数据包。完成上述工作后病毒将系统目录下的CMD.EXE文件分别复制到系统根目录\inetpub\scripts和系统根目录\progra~1\common~1\system\MSADC目录下,并取名为root.exe。然后从病毒体内释放出一个木马程序,复制到系统根目录下,并取名为explorer.exe,此木马运行后会调用系统原explorer.exe,运行效果和正常explorer程序无异,但注册表中的很多项已被修改。由于释放木马的代码是个循环,如果目的目录下explorer.exe发现被删,病毒又会释放出一个。
    最后病毒休眠24小时(中文版为48小时)强行重起计算机。当病毒线程在判断日期大于2002年10月时,会立刻强行重起计算机。


作者声明:
  
我谨保证我是此作品的著作权人。我同意中国人人网发表此作品,同意中国人人网向其他媒体推荐此作品。未经中国人人网或作者本人同意,其他媒体一律不得转载。一旦传统媒体决定刊用,中国人人网及时通知我。在不发生重复授权的前提下,我保留个人向其他媒体的直接投稿权利。
【编者按】(注:转载除外)


相关信息
网友评论                >>> 发表您的评论
没有评论信息

  友情连接 关于人人 加盟人人 联系人人 人人广告 人人招聘 人人导航 人人未来  

人人文学网
网址:http://www.cnrr.cn 电子邮箱:253581255@qq.com
总部电话:010-51656981 QQ:253581255
版权所有: 华夏网·中国人人网

人人艺术网