您的位置: 网界网 > 周报全文 > 正文

[周报全文]清除“红色代码”及其变种

2001年08月27日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:清除“红色代码”及其变种

标签
清除“红色代码”及其变种
□ 北京瑞星科技股份有限公司总经理  刘旭

“红色代码”病毒是一种新型网络病毒,其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合,将网络蠕虫、计算机病毒、木马程序合为一体,开创了网络病毒传播的新路,可称之为划时代的病毒。如果稍加改造,将是非常致命的病毒,可以完全取得所攻破计算机的所有权限为所欲为,盗走机密数据,严重威胁网络安全。
7月中该病毒在美国等地大规模蔓延,引起了恐慌,国外通讯社连续报道该病毒的破坏情况;8月初,对该病毒做了一些修改,针对中文操作系统加强了攻击能力,导致在国内大规模蔓延,特别是北京等信息化程度较高的地区,受灾情况相当严重,公安部发布紧急通告,要求对该病毒严加防范。

“红色代码”病毒介绍
“红色代码”病毒是通过微软公司IIS系统漏洞进行感染,它使IIS服务程序处理请求数据包时溢出,导致把此“数据包”当作代码运行,病毒驻留后再次通过此漏洞感染其他服务器。
“红色代码”病毒采用了一种叫做“缓冲区溢出”的黑客技术,利用网络上使用微软IIS系统的服务器来进行病毒传播。这个蠕虫病毒使用服务器的端口80进行传播,而这个端口正是Web服务器与浏览器进行信息交流的渠道。
“红色代码” 不同于以往的文件型病毒和引导型病毒,并不将病毒信息写入被攻击服务器的硬盘。它只存在于内存,传染时不通过文件这一常规载体,而是借助这个服务器的网络连接攻击其他的服务器,直接从一台电脑内存传到另一台电脑内存。当本地IIS服务程序收到某个来自“红色代码”发送的请求数据包时,由于存在漏洞,导致处理函数的堆栈溢出。当函数返回时,原返回地址已被病毒数据包覆盖,程序运行线程跑到病毒数据包中,此时病毒被激活,并运行在IIS服务程序的堆栈中。
“红色代码II”病毒代码首先会判断内存中是否以注册了一个名为CodeRedII的Atom(系统用于对象识别),如果已存在此对象,表示此机器已被感染,病毒进入无限休眠状态,未感染则注册Atom并创建300个病毒线程,当判断到系统默认的语言ID是中华人民共和国或中国台湾时,线程数猛增到600个,创建完毕后初始化病毒体内的一个随机数发生器,此发生器产生用于病毒感染的目标电脑IP地址。每个病毒线程每100毫秒就会向一随机地址的80端口发送一长度为3818字节的病毒传染数据包。巨大的病毒数据包使网络陷于瘫痪。
“红色代码II”病毒体内还包含一个木马程序,这意味着计算机黑客可以对受到入侵的计算机实施全程遥控,并使得“红色代码II”拥有前身无法比拟的可扩充性(+本站微信networkworldweixin),只要病毒作者愿意,随时可更换此程序来达到不同的目的。

解决方案
在以往传统的网络信息安全保护体系中,要清除网络体系内的病毒和黑客程序,必须采用在网络出口处设置防火墙或入侵检测软件,通过日志或流量异常定位网络病毒的存在,再使用反病毒软件进行清除,这样的做法不仅成本高昂,而且操作复杂,是一种被动式的查杀方法。
瑞星提供的瑞星杀毒软件网络版+微软补丁程序是彻底解决“红色代码”类病毒的最佳方法。最新的瑞星杀毒软件网络版已增加自动探测计算机是否存在微软IIS安全漏洞的功能,变“被动查杀”为“主动防杀”,大大节省了系统管理员的劳动强度和软件使用难度。
利用瑞星杀毒软件网络版独有的“全网杀毒”功能,系统管理员可以通过瑞星移动控制台,只需几分钟,不仅可杀灭全网范围内的“红色代码”病毒,同时还可准确了解网络中存在IIS安全漏洞的所有计算机。只要对这些存在IIS安全漏洞的计算机安装微软补丁程序,就可防范“红色代码”类病毒再次攻击,彻底与“红色代码”告别。
有关“红色代码”病毒及其变种的具体查杀方法,请参考瑞星公司网站(http://www.rising.com.cn),我们已提供全面的解决方案;如果遇到技术方面的障碍,瑞星的技术服务部门安排有24小时800免费电话,集团用户可以提供上门服务。■
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]