紅色代碼

紅色代碼

紅色代碼是一種電腦病毒,該病毒能夠迅速傳播,其傳播所使用的技術可以充分體現網路時代網路安全與病毒的巧妙結合,將網路蠕蟲、計算機病毒、木馬程式合為一體,開創了網路病毒傳播的新路,可稱之為劃時代的病毒。如果稍加改造,將是非常致命的病毒,可以完全取得所攻破計算機的所有許可權並為所欲為,可以盜走機密數據,嚴重威脅網路安全。另有同名電影。並造成大範圍的訪問速度下降甚至阻斷。遭到攻擊的伺服器會按照病毒的指令向政府網站傳送大量數據,最終導致網站癱瘓。造成巨大損失。

名稱

紅色代碼

相關介紹

紅色代碼 (Code Red,2001年)該病毒能夠迅速傳播,並造成大範圍的訪問速度下降甚至阻斷。這種病毒一般首先攻擊計算機網路的伺服器,遭到攻擊的伺服器會按照病毒的指令向政府網站傳送大量數據,最終導致網站癱瘓。其造成的破壞主要是塗改網頁,有跡象表明,這種蠕蟲有修改檔案的能力。2001年7月13日爆發,給全球帶來26億美元損失。

紅色代碼II

病毒名稱:
紅色代碼II(CodeRedII)
別名:CODERED.C, CODERED, HBC, W32/CodeRed.C, CodeRedIII, CodeRed III, Code Red II
病毒特點:
該病毒利用IIS的緩衝區溢出漏洞,通過TCP的80連線埠傳播,並且該病毒變種在感染系統後會釋放出黑客程式。它的技術特性如下:
一、攻擊的目標系統:
1、安裝Indexing services 和IIS 4.0 或IIS 5.0的Windows 2000系統
2、安裝Index Server 2.0和IIS 4.0 或IIS 5.0的Microsoft Windows NT 4.0系統
二、如何判定遭受“紅色代碼II”病毒攻擊
1、在WINNT\SYSTEM32\LOGFILES\W3SVC1目錄下的日誌檔案中是否含有以下內容
GET,/default.ida,
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a,
如果發現這些內容,那么該系統已經遭受“紅色代碼II”的攻擊。
2、使用命令netstat –a
如果在1025以上連線埠出現很多SYN-SENT連線請求,或者1025號以上的大量連線埠處於Listening狀態,那么該系統已經遭受“紅色代碼II”病毒的感染。
3、如果在以下目錄中存在Root.exe檔案,說明系統已被感染。
C:\inetpub\Scripts\Root.exe
D:\inetpub\Scripts\Root.exe
C:\progra~1\Common~1\System\MSADC\Root.exe
D:\Progra~1\Common~1\System\MSADC\Root.exe
同時,“紅色代碼II”還會釋放出以下兩個檔案C:\Explorer.exe or D:\Explorer.exe。這兩個檔案都是木馬程式。
4、由於遭受“紅色代碼II”病毒的攻擊,NT伺服器中的Web服務和Ftp服務會異常中止。
解決方案
1、請到以下微軟站點下載補丁程式:
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
2、斷掉網路重新啟動系統,防止病毒通過網路再次感染。
3、安裝微軟補丁程式。
4、刪除以下病毒釋放的木馬程式
C:\inetpub\Scripts\Root.exe
D:\inetpub\Scripts\Root.exe
C:\progra~1\Common~1\System\MSADC\Root.exe
D:\Progra~1\Common~1\System\MSADC\Root.exe
使用以下命令刪除以下檔案:
ATTRIB C:\EXPLORER.EXE -H -A -R
DEL C:\EXPLORER.EXE
ATTRIB D:\EXPLORER.EXE -H -A -R
DEL D:\EXPLORER.EXE
5、將以下鍵值改為0
HKLM\SOFTWARE\Microsoft\WindowsNT\Current Version\WinL紅色代碼II

電腦病毒

感染方式

紅色代碼”蠕蟲是通過微軟公司IIS系統漏洞進行感染,它使IIS服務程式處理請求數據包時溢出,導致把此“數據包”當作代碼運行,蠕蟲駐留後再次通過此漏洞感染其它伺服器。
“紅色代碼”蠕蟲採用了一種叫做"快取區溢出"的黑客技術,利用網路上使用微軟IIS系統的伺服器來進行蠕蟲傳播。這個蠕蟲使用伺服器的連線埠80進行傳播,而這個連線埠正是Web伺服器與瀏覽器進行信息交流的渠道。
與其它病毒不同的是,“紅色代碼”蠕蟲不同於以往的檔案型病毒和引導型病毒,並不將有害代碼寫入被攻擊伺服器的硬碟。它只存在於記憶體,傳染時不通過檔案這一常規載體,而是藉助這個伺服器的網路連線攻擊其它的伺服器,直接從一台電腦記憶體傳到另一台電腦記憶體。當本地IIS服務程式收到某個來自“紅色代碼”傳送的請求數據包時,由於存在漏洞,導致處理函式的堆疊溢出。當函式返回時,原返回地址已被蠕蟲數據包覆蓋,程式運行線跑到有蠕蟲的數據包中,此時蠕蟲被激活,並運行在IIS服務程式的堆疊中。
紅色代碼II”蠕蟲代碼首先會判斷記憶體中是否以註冊了一個名為CodeRedII的Atom(系統用於對象識別),如果已存在此對象,表示此機器已被感染,蠕蟲進入無限休眠狀態,未感染則註冊Atom並創建300個惡意執行緒,當判斷到系統默認的語言ID是中華人民共和國或中國台灣時,執行緒數猛增到600個,創建完畢後初始化蠕蟲體內的一個隨機數生成器(RundomNumberGenerator),此生成器隨機產生IP位址讓被蠕蟲去發現這些IP位址對應的機器的漏洞並感染之。每個蠕蟲執行緒每100毫秒就會向一隨機地址的80連線埠傳送一長度為3818位元組的病毒傳染數據包。巨大的蠕蟲數據包使網路陷於癱瘓。
“紅色代碼II”蠕蟲體內還包含一個木馬程式,這意味著計算機黑客可以對受到入侵的計算機實施全程遙控,並使得“紅色代碼II”擁有前身無法比擬的可擴充性,只要蠕蟲作者願意,隨時可更換此程式來達到不同的目的。

解決方案

在以往傳統的網路信息安全保護體系中,要清除網路體系內的蠕蟲和黑客程式,必須採用在網路出口處設定防火牆或入侵檢測軟體,通過日誌或流量異常定位網路蠕蟲的存在,再使用反病毒軟體進行清除,這樣的做法不僅成本高昂,而且操作複雜,是一種被動式的查殺方法。
瑞星提供的瑞星防毒軟體網路版+微軟補丁程式是徹底解決“紅色代碼”類病毒的最佳方法。最新的瑞星防毒軟體網路版已增加自動探測計算機是否存在微軟IIS安全漏洞的功能,變“被動查殺”為“主動防殺”,大大節省了系統管理員的勞動強度和軟體使用難度。
利用瑞星防毒軟體網路版獨有的“全網防毒”功能,系統管理員可以通過瑞星移動控制台,只需幾分鐘,不僅可殺滅全網範圍內的“紅色代碼”病毒,同時還可準確了解網路中存在IIS安全漏洞的所有計算機。只要對這些存在IIS安全漏洞的計算機安裝微軟補丁程式,就可防範“紅色代碼”類病毒再次攻擊,徹底與“紅色代碼”告別。
有關“紅色代碼”病毒及其變種的具體查殺方法,請參考瑞星公司網站,我們已提供全面的解決方案;如果遇到技術方面的障礙,瑞星的技術服務部門安排有24小時800免費電話,集團用戶可以提供shangmenfuwu。

電影簡介

紅色代碼紅色代碼
FBI探員傑遜致力投身於警隊事業,在調查多家兇案的過程中,發現其中可疑之處甚多,多個連環殺手神秘死亡或失蹤,傑遜憑藉機警聰明在一次破案中發現其上司很可能是連環殺手案的兇手,並且努力尋找證據,指證上司的舉動被身邊的搭檔知道後,而遭到其上司的追殺,原來身邊的好搭檔也是一名殺手,在此無助情況下傑遜如何破案呢……。

相關詞條

相關搜尋

熱門詞條

聯絡我們