精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>网络专区>>● Internet>>
理论基础
>>★Internet冲浪宝典★>>::病毒.黑客.入侵及防御::>>感染“代号红色2”病毒的应急处理 (转载)

主题:感染“代号红色2”病毒的应急处理 (转载)
发信人: xmzw(小米粥)
整理人: snowypeng(2001-08-09 17:47:02), 站内信件

新浪科技 新浪网友 幼虫 
 
  从病毒观察网站传来消息,8月4日才出现的“代号红色”2(RED CODE II)病毒从八月四日起就在陆续在国内出现,到今天在国内已经泛滥成灾。8月6日中午11:43分,病毒观察网站获取到样本后,安排专人进行了反汇编分析,弄清了病毒的机理。并在当晚,发布了一个杀毒的小工具killrc2.exe。以下是转自病毒观察网站的部分消息,你也可以随时去病毒观察网站察看最新进展, 
本站也将为大家提供对此病毒尽量全面的消息。 

  病毒介绍 

  这是一个蠕虫木马双特型病毒。 

  实际上和第一个RED CODE 蠕虫病毒相比,这并不是一个简单的变种,与RED CODE 相比,这个新蠕虫是极度危险的,因为它不是简单的修改主页,而是通过同样的IIS漏洞实现对一个木马文件的上载和运行。但它们使用的攻击方式是基本一样的,所以这样我们也可以用修补预防RED CODE 的方式来预防RED CODE II(参见本站联接)。但是“RED CODE II” 和 RED CODE I来比较,我们可以感觉到杀伤力大的多。 

  这个分析被分成3 部分: 

  感染 

  传播 

  特洛伊木马程序 

  RED CODE II的攻击原理和最初的RED CODE 一样,所以修复方法和RED CODE I是一样的 

  微软公司安全补丁下载页面: Http://www.Microsoft.com/ 

  如果想检查你的机器是否被感染,你可以看看下列文件是不是存在: 

  c:\explorer.exe 或 d:\explorer.exe 

  你IIS的script 文件夹和文件夹msadc中是否有ROOT.EXE这个文件。 

  如果有的话则你很可能是已经被感染了。 

  注意:以前曾有一个叫做 sadmin unicode 的蠕虫,也会吧CMD.EXE文件改名为root.exe ,所以不能只凭是否有ROOT.EXE存在来判断是否已经中毒。 

  1、感染 

  第一次感染: 首先这个蠕虫会给自己建立一个环境,之后取得本地IP,用来分析子网掩码(将用来传播),并且确认当前系统没有被重复感染。之后判断当前操作系统的语言,是繁体中文还是简体中文。之后判断是否已经被RED CODE感染,如果是的话,这个进程将转入永远休眠。 

  之后RED CODE II根据操作系统来增加线程,非中文系统为300条。如果是中文系统那么将打开600条线程。此时它把大量的繁殖线程转入后台,大规模的复制自己。(这些线程被用于向其他IP地址发送GET .IDA漏洞请求,参见 IIS-Worm.Body (RED CODE) 介绍)之后这个它将在系统中安装一个特洛伊木马。 

  RED CODE II的潜伏期,如果是非中文操作系统他会潜伏1天,对于中文系统它会潜伏2天。 

  2、转播 

  用来进一步传播这个蠕虫,这是它会设置一个本地 IP_STORAGE 变量用来储存本地IP,这个变量用于确定机器不会被重复感染。之后获取系统时间,如果当前时间在2002年后,或者月份在10月以后,那么这个蠕虫将重起计算机,这样就将转播可能限制在3个月内。之后蠕虫开始按一定规律生成目标主机IP地址并试图连接一个远程主机,如果能建立连接那么立刻去试图感染对方主机。 

  3、特洛伊程序 

  蠕虫会有计划的把cmd.exe 以root.exe的名字复制到msadc 和scripts 目录下,更名为root.exe,成为了一个可怕的后门。(cmd.exe是黑客攻击NT时梦寐以求的东西,好比UNIX SHELL)。并且将蠕虫中包含的一段2进制代码拆离成件名为explore.exe的木马到本地的驱动器(c:\和d:\)。 

  这个后门,可能会通过修改注册表,把你的c:\,d:\变成iis的虚拟目录。以上两点都是非常可怕的后门。 

  4、清除 

  请用病毒观察独家提供的查杀工具RedCode 2 KILLER检测清除。 

  可以 清除redcode II,修复redcode II造成的安全隐患,并为系统提供一个简单的打补丁,打补丁后无论是redcode还是redcode II,以及其他利用这个漏洞的蠕虫都不能感染你的系统。 

  如果您的系统未被感染,提醒您立刻浏览微软中国网站:http://www.microsoft.com,这里有详细的防护方法。

  参考资料: 

  在这里你可以读到更全面的反汇编分析:http://www.Eeye.com。

  感谢原新浪网病毒防治论坛版主幼虫提供本文,幼虫的个人主页“病毒救援”对本文亦有贡献。 
 

[关闭][返回]