金山解析“蓝色代码”病毒技术特征(1) 2001-09-07 14:25:07
千龙新闻网讯 金山公司截获一例最新恶性蠕虫病毒,名为“CodeBlue”。经过紧张分析后,发现该病毒都是利用了IIS的漏洞(具体可以到http://211.99.196.135/网址查看相关的漏洞情况)类似“红色代码”,由于在病毒体内包含“CodeBlue”字样,因此定名为“蓝色代码”。 “蓝色代码”蠕虫病毒感染Windows NT和Windows 2000系统服务器,由于其攻击微软inetinfo.exe程序的漏洞,并植入名为SvcHost.EXE的黑客程序运行,该蠕虫病毒将在服务器内存中不断地生成新的线程,最终导致系统运行缓慢,甚至瘫痪;如果操作系统是Windows 2000会将该系统的IIS服务停止运行,导致无法对外提供Web服务,服务器彻底瘫痪。 蠕虫运行会生成“C:d.vbs”脚本程序,该脚本程序运行时将停止所有“.ida,.idq,.printer”的系统服务;同时尝试下载“httpext.dll”到“C:”以及“C:inetpubscriptshttpext.dll”。 “红色代码”相比,“蓝色代码”攻击范围更广,传染性更强,黑客程序运行后将全面控制被感染的系统,同时修改注册表中有关IIS的设置,并在开机时启动程序SOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN的注册表项,添加了自动运行黑客程序SvcHost.EXE的功能,重新启动时黑客程序将自动运行,因此造成的破坏性将比红色代码更加可怕。 金山公司紧急升级程序已能够实现该病毒的查杀。据金山公司反病毒专家、金山公司反病毒应急处理中心负责人陈飞舟介绍:“蓝色代码”是一个比“红色代码”设计更加完善,攻击力更强的蠕虫病毒,驻留的黑客程序将严重威胁信息安全,必须严加防范。金山公司反病毒应急处理中心目前处于高度戒备状态。 "蓝色代码"技术特征 第一时间取得病毒样本后,金山公司反病毒应急处理中心迅速分工、一步步揭开了这个病毒面纱。 陈飞舟和李宇雄负责分析SvrHost.EXE,孙国君负责分析d.vbs,刘海峰负责网络相关命令的分析,以及漏洞资料的查找;徐飞和冯涛负责在断网的情况下运行同时运行监控程序,监控该蠕虫的动作,冯涛负责编写CodeBlue的专杀工具; 该蠕虫经过了狡猾的加密,不过这拦不倒我们,用脱壳工具轻松搞定; 解开后的蠕虫结构变得非常清晰,经过初步的分析发现其会不断创建线程,以及如果是Windows2000会将inetinfo.exe进程杀掉,这可是IIS主服务程序,马上会造成Web服务器的停止,这可比“红色代号”蠕虫更狠,我们马上联系公安部病毒应急处理中心,通报这一结果,希望能尽快提出预警。
|下一页||尾 页|
与 或 标题 关键字 以上全部
·国家级治脑病新药思维源 ·中藏药治疗脑病新突破 ·治类风湿,强直性脊柱炎 ·养肾·痛风·长寿 ·肝病泌尿脑萎缩新药介绍 ·强直性脊柱炎康复乐园 ·让中医辩证不孕不育 ·国医治股骨头坏死一绝 ·乙肝为何久治不愈? ·二千元垄断批发做老板 ·中医中药专治前列腺 ·治牛皮癣白癜风已成现实 ·专治痛风病的白衣天使 ·不孕不育的杏林奇葩 ·专卖店零售管理系统