金山解析“蓝色代码”病毒技术特征(1)
　 2001-09-07 14:25:07

　　
　　 千龙新闻网讯 金山公司截获一例最新恶性蠕虫病毒，名为“CodeBlue”。经过紧张分析后，发现该病毒都是利用了IIS的漏洞（具体可以到http://211.99.196.135/网址查看相关的漏洞情况）类似“红色代码”，由于在病毒体内包含“CodeBlue”字样，因此定名为“蓝色代码”。
　　
　　 “蓝色代码”蠕虫病毒感染Windows NT和Windows 2000系统服务器，由于其攻击微软inetinfo.exe程序的漏洞，并植入名为SvcHost.EXE的黑客程序运行，该蠕虫病毒将在服务器内存中不断地生成新的线程，最终导致系统运行缓慢，甚至瘫痪；如果操作系统是Windows 2000会将该系统的IIS服务停止运行，导致无法对外提供Web服务，服务器彻底瘫痪。
　　
　　 蠕虫运行会生成“C:d.vbs”脚本程序，该脚本程序运行时将停止所有“.ida,.idq，.printer”的系统服务；同时尝试下载“httpext.dll”到“C:”以及“C:inetpubscriptshttpext.dll”。
　　
　　 “红色代码”相比，“蓝色代码”攻击范围更广，传染性更强，黑客程序运行后将全面控制被感染的系统，同时修改注册表中有关IIS的设置，并在开机时启动程序SOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN的注册表项，添加了自动运行黑客程序SvcHost.EXE的功能，重新启动时黑客程序将自动运行，因此造成的破坏性将比红色代码更加可怕。
　　
　　 金山公司紧急升级程序已能够实现该病毒的查杀。据金山公司反病毒专家、金山公司反病毒应急处理中心负责人陈飞舟介绍：“蓝色代码”是一个比“红色代码”设计更加完善，攻击力更强的蠕虫病毒，驻留的黑客程序将严重威胁信息安全，必须严加防范。金山公司反病毒应急处理中心目前处于高度戒备状态。
　　
　　 "蓝色代码"技术特征
　　
　　
　　 第一时间取得病毒样本后，金山公司反病毒应急处理中心迅速分工、一步步揭开了这个病毒面纱。
　　
　　 陈飞舟和李宇雄负责分析SvrHost.EXE，孙国君负责分析d.vbs，刘海峰负责网络相关命令的分析，以及漏洞资料的查找；徐飞和冯涛负责在断网的情况下运行同时运行监控程序，监控该蠕虫的动作，冯涛负责编写CodeBlue的专杀工具；
　　
　　 该蠕虫经过了狡猾的加密，不过这拦不倒我们，用脱壳工具轻松搞定；
　　
　　 解开后的蠕虫结构变得非常清晰，经过初步的分析发现其会不断创建线程，以及如果是Windows2000会将inetinfo.exe进程杀掉，这可是IIS主服务程序，马上会造成Web服务器的停止，这可比“红色代号”蠕虫更狠，我们马上联系公安部病毒应急处理中心，通报这一结果，希望能尽快提出预警。

|下一页||尾　页|