冠群金辰彻底解决红色代码蠕虫病毒(1)

　　
　　日前，肆虐于欧美等国的CodeRed红色代码蠕虫病毒，已经悄悄在我国登陆。据冠群金辰反病毒监测网的报告，全国各地均有此蠕虫病毒的感染案例。由于此蠕虫病毒的特殊性，在国外，它已给各大企业网络及政府机构造成巨大损失（如美国白宫官方网站及其它多家大型企业网站均遭受到此病毒的攻击）。

　　那么，这种病毒是通过何种手段造成如此巨大的破坏呢？我们通过对受攻击的计算机进行监控/分析得知：

　　此蠕虫病毒与以往病毒不同，它不但具有传统病毒的快速传播特征，而且运用了黑客采用的技术，因此，对网络的危害更加突出。

　　最先在美国流行的红色代码一代，其特征如下：

　　1、利用系统漏洞

　　CodeRed利用微软Index Server 2.0和Indexing Service中存在的安全漏洞通过因特网蔓延的蠕虫，Index Server 和Indexing Service 是分别安装在IIS5.0(Windows2000)及IIS4.0(NT4.0)上的系统服务。

　　2、阻塞网络

　　CodeRed能够自己生成一个随机IP地址列表作为入侵对象，然后依次扫描这些目标地址是否是在运行存在安全漏洞的系统，如果是的话, CodeRed就会尝试着通过80端口利用ISAPI扩展中的一个存在安全隐患的缓冲区入侵到系统中。过多的扫描动作会造成网络阻塞。

　　3、特殊的传播途径

　　它不同于以往的文件型病毒和引导型病毒，可存在于内存，传染时不通过文件这一常规载体，直接从一台电脑内存到另一台电脑内存。

　　4、更改网站

　　CodeRed会检查被感染的系统是否使用美国英语, 如果是的话, 蠕虫就会在入侵系统两个小时后(这段时间被用来保证蠕虫能够有时间向其它网站传播而不被用户立即察觉)将用户的网页篡改为以下内容：以上的修改将会保持10个小时, 之后网站将会自动恢复正常服务。

　　而目前在国内大肆流行的主要是第二代CodeRed。在其第一代的基础上，第二代程序又增加了更多的功能：

　　1、病毒体内还可加载一个木马程序，这使得CodeRed B拥有更灵活的可扩充性，只要病毒作者愿意，可随时更换其中的木马程序。

　　2、入侵系统后, 蠕虫将CMD.EXE拷贝到C:盘及D:盘以下目录中:

　　inetpubscripts

　　program filescommon filessystemmsadc

　　3、蠕虫开始扫描网络, 寻找其它可被攻击的系统，这一过程在英文WINDOWS2000系统中将持续24小时, 而在运行中文WINDOWS2000的系统中将持续48小时。

|下一页||尾　页|