红色代码
2“红色代码”病毒是2001年7月15日发现的一种网络蠕虫病毒,感染运行Microsoft IISWeb服务器的计算机。其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合,将网络蠕虫、计算机病毒、木马程序合为一体,开创了网络病毒传播的新路,可称之为划时代的病毒。如果稍加改造,将是非常致命的病毒,可以完全取得所攻破计算机的所有权限并为所欲为,可以盗走机密数据,严重威胁网络安全。
基本信息
- 中文名
红色代码
- 外文名
Code Red
- 技术名
CRv1和CRv2
- 类型
服务器蠕虫病毒
- 发现日期
2001-07-15
- 程序类型
计算机病毒
- 感染对象
Microsoft IIS Web服务器
名称由来
红色病毒首先被eEye Digital Security公司的雇员Marc Maiffret和Ryan Permeh发现并研究。他们将其命名为“Code Red”,因为他们当时在喝Code Red Mountain Dew。1
病毒原理
“红色代码”蠕虫采用了一种叫做"缓存区溢出"的黑客技术, 利用微软IIS的漏洞2进行病毒的感染和传播。该病毒利用HTTP协议, 向IIS服务器的端口80发送一条含有大量乱码的GET请求,目的是造成该系统缓存区溢出, 获得超级用户权限,然后继续使用HTTP 向该系统送出ROOT.EXE木马程序,并在该系统运行,使病毒可以在该系统内存驻留, 并继续感染其他IIS系统。Code Red 在向侵害对象发送GET 乱码时,总是在乱码前加上一个后缀为.ida的文件名,表示它正在请求该文件, 这是红色代码的重要特征。
运行过程
- 1.
设置运行环境。首先修改堆栈指针,设置堆大小为0218H字节。接着使用RVA(相对虚拟地址) 查找Get Proc Address的函数地址, 再调用此函数获得其他函数的地址, 如socket,connect,send,recv,close socket 等。
- 2.
如果C: \ not worm 文件存在,则不进一步传染其他主机。
- 3.
传染其他主机。创建100 个线程, 其中99 个线程用于感染其他的Web 服务器。通过一个算法来计算出一系列的IP地址作为传染目标。按照IP地址的生成算法, 能够产生重复传染的情况, 从而在这些服务器之间传输大量的数据而消耗其网络带宽, 达到拒绝服务攻击的效果。
- 4.
篡改主页。如果系统的默认语言不为美国英语( 代码页不等于0x 409) , 第100 个线程和前99 个线程一样去感染其他系统。否则会篡改系统的网页, 被感染的Web 服务器的网页将被篡改成某条消息。这个消息持续10 h 后会消失。与其他通过网络攻击篡改网页的方法不同, 该病毒并不修改磁盘上的主页文件, 而是修w3svc.dll 的TcpSockSend 入口指向病毒代码, 当浏览器访问这个被感染的Web 服务器时, TcpSockSend 返回前述的篡改消息。
- 5.
产生对电脑的白宫的拒绝服务攻击。每一蠕虫线程都会检查C: \ not worm文件。如果文件存在,则转为休眠,否则检查当前时间, 如果时间在20: 00UTC 和23: 59 UTC 之间,将对白宫进行攻击。创建一个socket 并与白宫网站的80端口建立连接,并发送18000H ( 98 K 字节)的数据。在休眠大约415h 后, 再次重复发送数据。由于在全世界范围内有大量Web 服务器被感染,其结果就可能会产生对白宫网站的拒绝服务攻击。
病毒破坏力
篡改被感染的网站,使其显示上节中提到的消息。
蠕虫病毒的活动一般与时间相关,根据系统时间不同会采取不同的活动:
1-19天
通过查找网络上更多地IIS服务器尝试自我传播。
20-27天
对几个固定的IP地址发动拒绝服务攻击,包括白宫的IP地址。
28天到月末
休眠,没有攻击活动。
3