专家陈飞舟谈“蓝色代码”破解过程

　　“红色代码(Codered)”病毒在全世界的肆掠造成了近26亿美元的损失。“红色代码”的疯狂肆掠，主要是因为它采用了更危险，更厉害的攻击方式：从内存到内存的主动攻击，使电脑病毒具有象生物一样的主动寻找猎物，主动攻击的特性。昨天，金山公司截获了一个最新的病毒“蓝色代码(Codeblue)”，分析结果表明，“蓝色代码”是一个与“红色代码”相类似的高危险性病毒。
　　
　　“蓝色代码”蠕虫病毒感染Windows NT和Windows 2000系统服务器，由于其攻击微软inetinfo.exe程序的漏洞，并植入名为SvcHost.EXE的黑客程序运行，该蠕虫病毒将在服务器内存中不断地生成新的线程，最终导致系统运行缓慢，甚至瘫痪。如果操作系统是Windows 2000会将该系统的IIS服务停止运行，导致无法对外提供Web服务，服务器彻底瘫痪。
　　
　　金山公司反病毒应急处理中心负责人陈飞舟指出，“红色代码”和“蓝色代码”使用的都是同样的制作原理，实现了内存到内存的感染传播，能够进行黑客似的主动攻击。应该说，这两种病毒的出现将预示着一个新的病毒时代的到来，病毒传播的速度和破坏性都会空前的提高。
　　
　　与 “红色代码”相比，“蓝色代码”攻击范围更广，黑客程序运行后将全面控制被感染的系统，同时修改注册表中有关IIS的设置，并在开机时启动程序SOFTWARE＼MICROSOFT＼WINDOWS＼CURRENTVERSION＼RUN的注册表项，添加了自动运行黑客程序SvcHost.EXE的功能，重新启动时黑客程序将自动运行，因此造成的破坏性将比红色代码更加可怕。金山公司截获一例最新恶性蠕虫病毒，名为“CodeBlue”。经过紧张分析后，发现该病毒都是利用了IIS的漏洞(具体可以到211.99.196.135/网址查看相关的漏洞情况)类似“红色代码”，由于在病毒体内包含“CodeBlue”字样，因此定名为“蓝色代码”。
　　
　　金山公司紧急升级程序已能够实现该病毒的查杀。同时，金山公司已经发布了专杀“蓝色代码”病毒的专杀小工具“duba_codeblue”，可以在金山毒霸网站上进行免费下载。