【要闻】“红色代码”病毒专题

本篇文章8188字，读完约20分钟

“红码”病毒是一种新的网络病毒，其传播采用的技术充分体现了网络时代的网络安全与病毒的巧妙结合，使网络网络病毒、计算机病毒、特洛伊木马程序一体化， 可以说是划时代的病毒。 稍微改造一下，就会变成非常致命的病毒，完全想取得被打破的计算机的所有权限，窃取机密数据，严重威胁互联网的安全。

该病毒通过微软企业iis系统的漏洞感染，iis服务程序在请求数据包时溢出，以该“数据包”为代码运行，病毒常驻后再次通过该漏洞感染其他服务器。 “红色代码”病毒使用被称为“缓冲区溢出”的黑客技术，利用互联网上使用微软iis系统的服务器进行病毒传输。 该蠕虫是通过服务器端口80传播的，服务器端口80是web服务器与浏览器进行新闻交流的通道。

与其他病毒不同，“红色代码”与传统的文件型病毒和诱导型病毒不同，不将病毒新闻写入攻击对象服务器的硬盘。 只存在于存储器中，感染时不通过文件这种通常的载体，通过该服务器的互联网连接攻击其他服务器，从一个计算机存储器直接传输到另一个计算机存储器。 本地iis服务程序接收到“红色代码”发送的请求包时，由于存在漏洞，因此解析函数的堆栈溢出。 函数返回后，原来的返回地址被病毒包复盖，程序的执行线跑到病毒包，病毒被激活，在iis服务程序的栈中执行。

“红色代码ii”是“红色代码”的变种病毒，首先评价内存中是否注册了名为coderedii的atom。 如果存在此对象，表示这台计算机感染了，病毒进入无限休眠状态，如果没有感染，则注册atom，创建300个病毒线程。 系统的默认语言id是中华人民共和国。 线程数激增到600，创建完成后，病毒体内的随机数发生器被初始化，为病毒感染生成目标计算机的ip地址。 每个病毒线程每100毫秒向随机地址的80个端口发送3818字节的病毒感染数据包。 巨大的病毒数据包使网络瘫痪了。

“红码ⅱ”病毒还包括特洛伊木马程序。 这意味着黑客可以远程操作入侵的计算机，使“红码ii”具有前身没有的扩展性。 只要病毒作者愿意，随时可以交换这个程序以达到不同的目的。

2、“红色代码”病毒相关资料:

“红色代码”( code red )病毒也被称为w32/bady.worm。 该蠕虫感染了运行microsoft index server 2.0的系统，或在windows 2000和iis上启用了indexing service的系统。 该蠕虫利用缓冲区溢出的漏洞进行传播(不受限制的index server isapi extension缓冲区会使web服务器不安)。 。 蠕虫只存在于内存中，不复制文件到硬盘。

蠕虫的分发通过tcp/ip协议和端口80，利用上述漏洞蠕虫，将自己制作的tcp/ip流直接发送到染毒系统的缓冲器，蠕虫可以依次扫描web感染其他系统。 如果感染当前系统，蠕虫将检测硬盘上是否存在c:\notworm，如果文件存在，蠕虫将停止感染其他主机。

蠕虫在网页上“强制”以下代码: hello！ welcome to worm！ hackedby chinese！ 而且，这个页面的显示结果是: welcome to worm！ hacked by chinese！

在快速传播的过程中，“红色代码”蠕虫可以降低或阻止大范围的访问速度。 其破坏是首先篡改网页，对互联网上的其他服务器进行攻击，被攻击的服务器继续攻击其他服务器。 每月20-27日，向特定的ip地址198.137.240.91(whitehouse.gov )发起攻击。 病毒最初是在7月19日首次爆炸，7月31日再次爆炸，但由于很多电脑用户安装了补丁，第二次爆炸的破坏程度明显减少的“红色代码”使用了被称为“缓冲器溢出”的黑客技术， 该蠕虫是通过服务器端口80传播的，服务器端口80是web服务器与浏览器进行新闻交流的通道。 “红色代码”的主要特征是入侵iis服务器，代码red将www英语网站改写为“hello”。 welcome to worm！ hacked by chinese！ 》； 与其他病毒不同，代码red不会将病毒新闻写入受攻击服务器的硬盘。 驻留在被攻击服务器的内存中，通过该服务器的互联网连接攻击其他服务器。

3、“红色代码ii”(coderedii )病毒相关资料

“红码ii”是“红码”的改良版，病毒作者可以多优化病毒体，继承“红码”病毒的攻击优势，对“红码”病毒可以攻击的网络计算机进行攻击，但“红码”病毒可以攻击。 另外，这种病毒可以在被攻击的机器中嵌入“特洛伊木马”，可以将被攻击的机器“从后门大幅度打开”。 “红色代码ii”是极其可伸缩的，通过将根据程序自己完成的特洛伊木马移植给员工，病毒作者可以通过改良该程序实现不同的破坏目的。

本地iis服务程序接收到“红色代码ii”(codered ii )发送的请求包时，由于存在漏洞，因此解析函数的堆栈会溢出。 函数返回后，原来的返回地址被病毒包复盖，程序的执行线跑到病毒包，病毒被激活，在iis服务程序的栈中执行。 病毒代码首先评估名为coderedii的atom (系统用于对象识别)是否在内存中注册。 如果存在该对象，则表示该机器受到感染，病毒进入无限休眠状态，如果没有感染，则注册atom创建300个病毒线程，评价系统的默认语言id是中华人民共和国或台湾 每个病毒线程每100毫秒向随机地址的80个端口发送3818字节的病毒感染数据包。

然后，病毒将系统目录下的cmd.exe文件分别复制到系统根目录\inetpub\scripts目录和系统根目录\ progra~1\common~1\system\msadc目录中 然后从病毒中释放特洛伊木马程序，复制到系统根目录下，命名为explorer.exe。 此特洛伊木马在运行后调用系统的原始explorer.exe，但注册表中的许多项目已经更改。 释放特洛伊木马的代码是循环的，因此如果发现删除了目标目录下的explorer.exe，病毒将再次释放。 最终病毒被强制全天候(中文版为48小时)重启计算机。 如果评估日期大于2002年10月，病毒线程将立即强制重新启动计算机。

4、“红色代码”病毒发展迅速

可追溯性6月18日宣布，微软公司在iis互联网服务器软件中发现了漏洞。 iis软件是构建网站的最基础的软件之一，是黑客梦寐以求的软件缺陷，全世界的黑客都重视这个软件的“缺陷”。 7月13日，一家名为“左岸系统”的企业说，一些服务器入侵了新病毒，利用了iis服务器软件的这一缺陷。 7月16日，发现微软软件漏洞的软件企业程序员为该病毒赋予了饮料名称。 这被称为红色代码( codered )。 7月18日午夜，红色代码大规模爆炸，被攻击的计算机数量达到35.9万台。 被攻击的电脑有44%位于美国，11%位于韩国，5%位于中国，剩下的分散在世界各地。 7月19日，这个名为“红码”的病毒开始疯狂攻击美国白宫网站，白宫网站管理员将白宫网站从原来的ip地址转移到另一个地址，活下来了。 但是灾害没有结束。 这个蠕虫复制了10多万个，以每小时400mb的速度大量发送垃圾邮件。 7月19日，“红色代码”停止猛攻进入休眠期，不再进行大规模的活动。 7月20日，瑞星企业通过全球病毒监测网获取了“红色代码”的病毒样本。 7月31日，格林威治标准时间凌晨0点，“红色代码”再次复活，在全球范围内扩展，感染的网站中写着“中国黑客的入侵”，因此海外媒体推测“病毒制造者是否来自中国”，制作者是什么

变身: 7月31日爆发的病毒已经编撰，修正了其中一个错误，进一步加强了其传达和攻击能力。 但是，人们没有想到“红色代码”病毒会再次被编纂，其变种会卷土重来。 这次跳的是采用中文系统的网站。 瑞星企业技术部门分析后发现，作为改进的版本，“红色代码”可以创建300个线程在互联网上搜索未感染的计算机，如果系统的默认语言被评价为中华人民共和国或台湾，则搜索线程数 根据瑞星企业的模拟，病毒使用随机生成ip地址的方法，每个病毒每天扫描40万个ip地址，搜索未感染的计算机，找到“猎物”后，和寄生虫一样，自我安装。 更可怕的是，感染电脑后，将特洛伊木马程序从病毒中释放出来，常驻在电脑中，为入侵者打开方便的大门。 “红色代码”病毒的传播机制与传统的文件型病毒和诱导型病毒不同，使用机制是特殊的，利用wintel框架的缺点，只存在于内存中，感染时不通过文件这种通常的载体，而是某种计算机 关闭所有电脑后病毒就不存在了，但那完全是不可能的。

5、“红色代码”病毒受害报道

2001年7月，“红色代码”病毒在美国等地大范围传播，攻击白宫网站引起恐慌。 在网上发布后仅9小时就感染了25万台电脑。 8月初，红色代码病毒进入第二高峰，其变种“红色代码ii”与中文系统相比编纂，增强了对中文网站的攻击能力，其危害包括互联网性能急剧下降、路由器、交换机等互联网设备的负荷 现在，这种病毒在国内广泛传播，很多顾客的互联网系统瘫痪了。

8月7日，公安部发布紧急通报，要求加强对“红色代码ii”恶性病毒的预防。 截止到8月8日下午3点，根据瑞星企业的统计，计算机新闻领域是最近“红码ⅱ”的最大受害者。 据统计，发作领域集中在计算机新闻领域和网站，约占70-80%，其次是企业事业单位，包括学校、政府机构等，约占20%-30%。 其中北京地区发作最严重，约占80%，其他主要发作地区包括天津、河南、厦门、大连、上海等。 根据客户的反馈统计，病毒发作的iis服务器非常慢，服务频繁停止或自动重新启动是最重要的。 另外，瑞星企业在解剖“红色代码ii”的过程中，发现了这种恶性病毒的新把戏，感染了计算机后，病毒创建了操作系统的注册表，scripts、msadc、C磁盘、D磁盘的属性。

截止到8月18日下午17点，从国家互联网紧急集团协调办公室检测到我国600多台服务器感染了“红色代码ii”病毒，这种病毒的攻击、破坏程度依然非常严重。

6、“红色代码”病毒处理方案:

瑞星企业首先与“红码”病毒比较提供处理方案

我建议公司级客户参考方案1。

在以往流传下来的网络新闻安全系统中，为了消除网络系统内的病毒和黑客，在网络出口设置防火墙和入侵检测软件，从日志和流量中确认网络病毒的存在 比较这个普遍存在的问题，瑞星企业一直依赖于自己的先进技术和公司层面的应用经验，寻找最合理的处理方法。 现在，当“红色代码”及其变种袭击中国的网络系统时，瑞星企业很快实施了自己酿造的网络版改造计划，将瑞星独有的“网络病毒对策整体”技术引入了网络新闻的安全系统 瑞星提供的瑞星杀毒软件互联网版+微软补丁成为彻底处理“红色代码”类病毒的最佳做法。 瑞星杀毒软件的网络版有自己的“整个网络的杀毒”功能，系统管理员不仅可以通过瑞星移动控制台，在短短几分钟内消灭整个网络的“红色代码”病毒，还可以消灭整个网络的病毒。 如果在有这些iis安全漏洞的计算机上安装微软补丁，就可以防止“红色代码”这样的病毒再次被攻击，完全告别“红色代码”。 利用“网络整体防病毒”的技术，系统管理员通过瑞星移动控制台，在短短几分钟内杀死网络整体的各种病毒和黑客程序，在互联网内的各计算机上是否有安全漏洞 可以成为积极简单的键操作方法，大幅节约了系统管理者的劳动强度和软件的采用难度。 另外，瑞星互联网版具备智能自动升级功能，因此可以通过瑞星网站的升级程序进行同步更新，进一步确保了对新病毒的防御时间。

另外，有关“红色代码”病毒及其变种的具体调查方法，请访问瑞星企业网站( rising )。 在这个网站上，瑞星提供了全面的处理方案。 如果发生技术故障，瑞星企业技术服务部门可以全天候安排800个免费电话，集团客户可以提供现场服务。

对于所有计算机个人客户和公司客户，可以参考方案2。 codered是利用IISweb (互联网新闻服务器)的漏洞，1 .在瑞星杀毒软件2001版( 12.36及更高版本)中检测到的，如果新闻存储器中有codered病毒，你的系统就会受到codered的攻击。

windows 2000专业版，服务器和高级服务器首先升级到SP1-- Microsoft/Windows 2000/Downloads/service Packs/Default.ASS

windows nt 4.0版升级到sp6-- Microsoft/NT server/Default.ASP，将修补漏洞. Microsoft/Downloads/Release.ASP下载到以下链接: 租赁id=30833

3 .升级修补程序后重新启动计算机。 系统不再受到codered的攻击，用瑞星杀毒软件2001版( 12.36及更高版本)检测硬盘，清除codered附带的特洛伊木马程序，完全阻止codered系列病毒。

4.codered2以读写方式对c磁盘和d磁盘进行映射，将scripts、msadc的属性变更为可读写。 为了远程控制的目的，将系统目录中的cmd.exe复制到\inetpub\scripts，并将其命名为root.exe。 必须手动恢复原始属性。 操作如下: c、d项目通常不存在。 我建议直接删除。 删除scripts目录中的root.exe。

7、附上:瑞星追逐“红色代码”纪实一。

与病毒战斗了十几年的知名杀毒专家，瑞星企业社长刘旭这样评价“红色代码”病毒:这是新的互联网病毒，非常可怕。 采用的技术充分体现了网络时代的网络安全与病毒的巧妙结合，开辟了网络病毒传播的新途径。 可以说是划时代的病毒。 稍微改造一下，就会变成非常致命的病毒，完全想取得被打破的计算机的所有权限，窃取机密数据，严重威胁互联网的安全。 如果能得到有名的反病毒专家的高度评价，这种病毒也受到了足够的重视。 而且，红色代码的父亲没有留下任何线索，在受到攻击的网站上经常出现“中国黑客入侵”的文字，这种病毒身上带有神秘的颜色。 8月6日上午，瑞星企业用全天候免费电话陆续打来电话。 其中一家公司网络处于瘫痪状态，服务器一天重启20次，下午紧急召集瑞星等3家知名反病毒制造商的现场会议，瑞星技术人员根据现象判断是红色代码的新变种，立即进行现场采样， 这天，公安部发出紧急通报，加强了对“红色代码”病毒的防御。 8月7日清晨，瑞星企业技术人员再次仔细分析“红色代码”变种，发现这种恶性病毒的新把戏，感染计算机后，制作操作系统注册表，scripts、msadc、C磁盘、D 许多客户在消除此病毒和修复软件漏洞后，没有恢复这四种属性，特别是c和d磁盘的读写操作属性。 这留下了能上黑客的机器，瑞星企业提出了相应的处理方法。

8、附上:瑞星追逐“红色代码”病毒纪实二。

面向“红色代码”的瑞星技术支持

2001年8月6日晚上，瑞星企业800电话值班人员的小高有时被顾客告知“我们公司的服务器停机，服务器的所有iis程序无法运行”，“服务器的访问速度急剧下降，即使只打开一个浏览器也不行。 ”我接到了电话。 。 刚接到第一个电话时，高先生认为自己的系统有问题或者isp提供商有故障。 但是，情况正在变得清楚。 我尝试了几种通常的方法。 客户说没用，但瑞星最新的升级计划还没有发布，凌晨两点多。 然后，所有打电话的客户在800号电话日程上留下了详细的名字、联系方式和异常现象的说明。 一个人，两个人，五个人……在更多、沉睡的夜色中，整个中科楼只有瑞星企业值班员工室的灯通宵亮着。 实际上，8月6日下午，有客户报告互联网停机，三家反病毒公司去参加会议，瑞星技术人员当场明确是红码的最新变种，现场取样，晚上分解。 上午4点半，瑞星杀毒软件紧急升级，攻占了新病毒“红色代码ii”的最新杀毒程序被员工放在瑞星的网站上。 渐渐亮起来，接到电话的高级技术工程师比通常的工作时间提前了两个小时赶到了企业。 马上通知员工熟悉病毒特征，呼叫中心的员工络绎不绝。 这个时候离上班时间还有一个多小时，办公室的气氛已经变成了紧急情况。 每个人桌子上的电话一个接一个地响，多个电话说:“如果我们服务器的iis服务执行，就会恐慌……”。 已经到达的员工根据小高值班电话上记录的顾客新闻，迅速指导顾客清除这种病毒。 电话响了，各种各样的顾客、系统状况、病毒的破坏状况不同，同样的，顾客要求瑞星采取应对措施。 这时如何让紧张的客人平静下来。 如何更准确地了解病毒蔓延的范围和趋势，以确保给客户适当的应对措施？ 企业新闻发布和决定，如何为病毒解读过程提供正确的消息，这些重担都落在瑞星呼叫中心的员工肩上。 他们比往常更有耐心，仔细地提问、回答和记录，并与企业技术部门合作指导客户如何消除病毒。 研究开发人员写了一个在最短时间内分解和清除病毒源代码的程序。 瑞星杀毒软件的版本在客户早上开机的第一时间进行了紧急升级。 呼叫中心的员工紧张地统计病毒发作的范围和程度等，可以说是“内外联”的重要角色。 对外，他们帮助广大顾客彻底调查这种粗暴的病毒，在内部积极协助瑞星的研究开发和市场业务。 在当天晚上的电视情报中，主持人说:“今天，《红色代码ii》在全国范围内爆炸了。 根据最新的国家计算机病毒应急解决中心统计报告，全国已有近100例客户感染。 “红色代码”蠕虫传播很快，会降低或中断大范围的互联网访问速度。 “红色代码”蠕虫的破坏首先是篡改网页，攻击互联网上的其他服务器。 被攻击的服务器继续攻击其他服务器。 现在相关的反病毒软件公司例如北京瑞星企业可以彻底调查这种病毒。 客户请及时删除具有上述特征的可疑邮件，升级杀毒软件，保护电脑的宝贵消息……瑞星企业呼叫中心的员工终于松了一口气。 明天有更紧张的员工在等他们，他们相信自己会做得更好。

附件:瑞星发布了最新技术，一键杀死了整个互联网的“红毒”。

在8月的北京，傲慢的太阳如火如荼，但在中央空大量采用的各大写字楼和机构的写字楼中，另一种无形的痛苦以比夏天的太阳更酷的方式冲击着很多人的身心——“红码”专 中国的网络系统也同样无法生存，北京作为中国政治经济和新闻的第一个善区，成为这次“红码”攻击狂潮中的严重灾区。 另外相关专家警告说，本月13日，“红色代码”的变种病毒很可能再次大面积爆发。 这是因为如何尽快寻求安全可靠、全面的网络新闻安全处理方案，成为目前困扰各大企业事业部门和国家机关新闻部门主管的棘手问题。 对此，来自中国著名的新闻安全产品和服务提供商，根据瑞星企业的最新消息，瑞星2001互联网版软件已经根据“红码”系列病毒的优势迅速更新，具有最新功能的 现在瑞星2001互联网版软件已经实现了整个网络的“一键病毒消除”，为各种类型和规模的互联网用户提供方便快捷的病毒消除服务。

在以往传递的网络新闻安全系统中，为了消除网络系统内的病毒和黑客，在网络出口设置防火墙和入侵检测软件，由于日志和通信量异常而导致网络病毒 这种方法不仅价格高，而且操作多而复杂。 对于内部互联网规模比较大的公司级应用程序，发生的时间和经济价格必须由相关的新闻管理部门认真计算。 不仅如此，与此相关的终端分散越广，不安全的随机因素越多，因此最终达成的效果不理想。 特别是在“红色代码”这种完全寄生于互联网的新病毒出现后，以前流传的新闻安全系统的合理性更令人不能满足。

比较这个普遍存在的问题，瑞星企业一直依赖于自己的先进技术和公司层面的应用经验，寻找最合理的处理方法。 现在，当“红色代码”及其变种袭击中国的网络系统时，瑞星企业很快实施了自己酿造的网络版改造计划，将瑞星独有的“网络病毒对策整体”技术引入了网络新闻的安全系统 利用这一技术，系统管理员通过瑞星移动控制台，在几分钟内杀死整个网络的各种病毒和黑客程序，报告互联网中的每台计算机是否有安全漏洞，本来就被被动地锁定了。

另外，瑞星互联网版具备智能自动升级功能，因此可以通过瑞星网站的升级程序进行同步更新，进一步确保了对新病毒的防御时间。 在这次“红码”恶性网络病毒大规模爆发的过程中，1300多名使用瑞星网络版的顾客没有受到病毒入侵，说明了这种网络病毒对新技术的采用效果。