出现

从病毒观察网站传来消息，2001年8月4日才出现的“代号红色”2(RED CODE II)病毒从八月四日起就在陆续在国内出现，到今天在国内已经泛滥成灾。8月6日中午11：43分，病毒观察网站获取到样本后，安排专人进行了反汇编分析，弄清了病毒的机理。并在当晚，发布了一个杀毒的小工具killrc2.exe。以下是转自病毒观察网站的部分消息，你也可以随时去病毒观察网站察看最新进展，

本站也将为大家提供对此病毒尽量全面的消息。

病毒介绍

这个分析被分成3 部分：

感染

传播

特洛伊木马程序

RED CODE II的攻击原理和最初的RED CODE 一样，所以修复方法和RED CODE I是一样的

微软公司安全补丁下载页面：

如果想检查你的机器是否被感染，你可以看看下列文件是不是存在：

c:\explorer.exe 或 d:\explorer.exe

你IIS的script 文件夹和文件夹msadc中是否有ROOT.EXE这个文件。

如果有的话则你很可能是已经被感染了。

注意：以前曾有一个叫做 sadmin unicode 的 蠕虫，也会吧CMD.EXE文件改名为root.exe ，所以不能只凭是否有ROOT.EXE存在来判断是否已经中毒。

感染

第一次感染： 首先这个 蠕虫会给自己建立一个环境，之后取得本地IP，用来分析 子网掩码(将用来传播)，并且确认当前系统没有被重复感染。之后判断当前操作系统的语言，是繁体中文还是简体中文。之后判断是否已经被RED CODE感染，如果是的话，这个进程将转入永远休眠。

之后RED CODE II根据操作系统来增加 线程，非中文系统为300条。如果是中文系统那么将打开600条 线程。此时它把大量的繁殖 线程转入后台，大规模的复制自己。(这些 线程被用于向其他IP地址发送GET .IDA 漏洞请求，)之后这个它将在系统中安装一个 特洛伊木马。

RED CODE II的潜伏期，如果是非中文操作系统他会潜伏1天，对于中文系统它会潜伏2天。