病毒介紹
這是一個蠕蟲木馬雙特型病毒。實際上和第一個RED CODE 蠕蟲病毒相比,這並不是一個簡單的變種,與RED CODE 相比,這個新蠕蟲是極度危險的,因為它不是簡單的修改主頁,而是通過同樣的IIS漏洞實現對一個木馬檔案的上載和運行。但它們使用的攻擊方式是基本一樣的,所以這樣我們也可以用修補預防RED CODE 的方式來預防RED CODE II(參見本站聯接)。但是“RED CODE II” 和 RED CODE I來比較,我們可以感覺到殺傷力大的多。
這個分析被分成3 部分:
感染
傳播
特洛伊木馬程式
RED CODE II的攻擊原理和最初的RED CODE 一樣,所以修復方法和RED CODE I是一樣的
微軟公司安全補丁下載頁面: http://www.hudong.com/wiki/Http://www.Microsoft.com/
如果想檢查你的機器是否被感染,你可以看看下列檔案是不是存在:
c:\explorer.exe 或 d:\explorer.exe
你IIS的script 資料夾和資料夾msadc中是否有ROOT.EXE這個檔案。
如果有的話則你很可能是已經被感染了。
注意:
以前曾有一個叫做 sadmin unicode 的蠕蟲,也會吧CMD.EXE檔案改名為root.exe ,所以不能只憑是否有ROOT.EXE存在來判斷是否已經中毒。1、感染
第一次感染: 首先這個蠕蟲會給自己建立一個環境,之後取得本地IP,用來分析子網掩碼(將用來傳播),並且確認當前系統沒有被重複感染。之後判斷當前作業系統的語言,是繁體中文還是簡體中文。之後判斷是否已經被RED CODE感染,如果是的話,這個進程將轉入永遠休眠。
之後RED CODE II根據作業系統來增加執行緒,非中文系統為300條。如果是中文系統那么將打開600條執行緒。此時它把大量的繁殖執行緒轉入後台,大規模的複製自己。(這些執行緒被用於向其他IP位址傳送GET .IDA漏洞請求,)之後這個它將在系統中安裝一個特洛伊木馬。
RED CODE II的潛伏期,如果是非中文作業系統他會潛伏1天,對於中文系統它會潛伏2天。
2、轉播
用來進一步傳播這個蠕蟲,這是它會設定一個本地 IP_STORAGE 變數用來儲存本地IP,這個變數用於確定機器不會被重複感染。之後獲取系統時間,如果當前時間在2002年後,或者月份在10月以後,那么這個蠕蟲將重起計算機,這樣就將轉播可能限制在3個月內。之後蠕蟲開始按一定規律生成目標主機IP位址並試圖連線一個遠程主機,如果能建立連線那么立刻去試圖感染對方主機。
3、特洛伊程式
蠕蟲會有計畫的把cmd.exe 以root.exe的名字複製到msadc 和scripts 目錄下,更名為root.exe,成為了一個可怕的後門。(cmd.exe是黑客攻擊NT時夢寐以求的東西,好比UNIX SHELL)。並且將蠕蟲中包含的一段2進制代碼拆離成件名為explore.exe的木馬到本地的驅動器(c:\和d:\)。
這個後門,可能會通過修改註冊表,把你的c:\,d:\變成iis的虛擬目錄。以上兩點都是非常可怕的後門。
4、清除 請用病毒觀察獨家提供的查殺工具RedCode 2 KILLER檢測清除。
可以 清除redcode II,修復redcode II造成的安全隱患,並為系統提供一個簡單的打補丁,打補丁後無論是redcode還是redcode II,以及其他利用這個漏洞的蠕蟲都不能感染你的系統。
如果您的系統未被感染,提醒您立刻瀏覽微軟中國網站:http://www.microsoft.com,這裡有詳細的防護方法。