|
“紅色代碼”病毒是2001年7月15日發(fā)現(xiàn)的一種網(wǎng)絡(luò)蠕蟲(chóng)病毒����,感染運(yùn)行Microsoft IIS Web服務(wù)器的計(jì)算機(jī)。其傳播所使用的技術(shù)可以充分體現(xiàn)網(wǎng)絡(luò)時(shí)代網(wǎng)絡(luò)安全與病毒的巧妙結(jié)合��,將網(wǎng)絡(luò)蠕蟲(chóng)��、計(jì)算機(jī)病毒�����、木馬程序合為一體�����,開(kāi)創(chuàng)了網(wǎng)絡(luò)病毒傳播的新路���,可稱(chēng)之為劃時(shí)代的病毒。如果稍加改造����,將是非常致命的病毒,可以完全取得所攻破計(jì)算機(jī)的所有權(quán)限并為所欲為����,可以盜走機(jī)密數(shù)據(jù)����,嚴(yán)重威脅網(wǎng)絡(luò)安全�����。
紅色病毒首先被eEye Digital Security公司的雇員Marc Maiffret和Ryan Permeh發(fā)現(xiàn)并研究�����。他們將其命名為“Code Red”���,因?yàn)樗麄儺?dāng)時(shí)在喝Code Red Mountain Dew
“紅色代碼”蠕蟲(chóng)采用了一種叫做"緩存區(qū)溢出"的黑客技術(shù)��, 利用微軟IIS的漏洞進(jìn)行病毒的感染和傳播���。該病毒利用HTTP協(xié)議, 向IIS服務(wù)器的端口80發(fā)送一條含有大量亂碼的GET請(qǐng)求,目的是造成該系統(tǒng)緩存區(qū)溢出�, 獲得超級(jí)用戶(hù)權(quán)限,然后繼續(xù)使用HTTP 向該系統(tǒng)送出ROOT.EXE木馬程序�����,并在該系統(tǒng)運(yùn)行��,使病毒可以在該系統(tǒng)內(nèi)存駐留, 并繼續(xù)感染其他IIS系統(tǒng)��。Code Red 在向侵害對(duì)象發(fā)送GET 亂碼時(shí)��,總是在亂碼前加上一個(gè)后綴為.ida的文件名����,表示它正在請(qǐng)求該文件, 這是紅色代碼的重要特征
運(yùn)行過(guò)程
設(shè)置運(yùn)行環(huán)境��。首先修改堆棧指針���,設(shè)置堆大小為0218H字節(jié)���。接著使用RVA( 相對(duì)虛擬地址) 查找Get Proc Address的函數(shù)地址, 再調(diào)用此函數(shù)獲得其他函數(shù)的地址���, 如socket�����,connect,send��,recv,close socket 等����。
如果C: \ not worm 文件存在,則不進(jìn)一步傳染其他主機(jī)����。
傳染其他主機(jī)。創(chuàng)建100 個(gè)線(xiàn)程, 其中99 個(gè)線(xiàn)程用于感染其他的Web 服務(wù)器�。通過(guò)一個(gè)算法來(lái)計(jì)算出一系列的IP地址作為傳染目標(biāo)。按照IP地址的生成算法, 能夠產(chǎn)生重復(fù)傳染的情況, 從而在這些服務(wù)器之間傳輸大量的數(shù)據(jù)而消耗其網(wǎng)絡(luò)帶寬, 達(dá)到拒絕服務(wù)攻擊的效果��。
篡改主頁(yè)��。如果系統(tǒng)的默認(rèn)語(yǔ)言不為美國(guó)英語(yǔ)( 代碼頁(yè)不等于0x 409) , 第100 個(gè)線(xiàn)程和前99 個(gè)線(xiàn)程一樣去感染其他系統(tǒng)�。否則會(huì)篡改系統(tǒng)的網(wǎng)頁(yè), 被感染的Web 服務(wù)器的網(wǎng)頁(yè)將被篡改成某條消息。
這個(gè)消息持續(xù)10 h 后會(huì)消失�����。與其他通過(guò)網(wǎng)絡(luò)攻擊篡改網(wǎng)頁(yè)的方法不同, 該病毒并不修改磁盤(pán)上的主頁(yè)文件, 而是修w3svc.dll 的TcpSockSend 入口指向病毒代碼, 當(dāng)瀏覽器訪問(wèn)這個(gè)被感染的Web 服務(wù)器時(shí), TcpSockSend 返回前述的篡改消息�。
產(chǎn)生對(duì)電腦的白宮的拒絕服務(wù)攻擊。每一蠕蟲(chóng)線(xiàn)程都會(huì)檢查C: \ not worm文件����。如果文件存在�����,則轉(zhuǎn)為休眠�����,否則檢查當(dāng)前時(shí)間���, 如果時(shí)間在20: 00UTC 和23: 59 UTC 之間,將對(duì)白宮進(jìn)行攻擊����。創(chuàng)建一個(gè)socket 并與白宮網(wǎng)站的80端口建立連接,并發(fā)送18000H ( 98 K 字節(jié))的數(shù)據(jù)���。在休眠大約415h 后��, 再次重復(fù)發(fā)送數(shù)據(jù)�����。由于在全世界范圍內(nèi)有大量Web 服務(wù)器被感染�����,其結(jié)果就可能會(huì)產(chǎn)生對(duì)白宮網(wǎng)站的拒絕服務(wù)攻擊�。
病毒破壞力
篡改被感染的網(wǎng)站�����,使其顯示上節(jié)中提到的消息�。
蠕蟲(chóng)病毒的活動(dòng)一般與時(shí)間相關(guān),根據(jù)系統(tǒng)時(shí)間不同會(huì)采取不同的活動(dòng):
1-19天
通過(guò)查找網(wǎng)絡(luò)上更多地IIS服務(wù)器嘗試自我傳播���。
20-27天
對(duì)幾個(gè)固定的IP地址發(fā)動(dòng)拒絕服務(wù)攻擊�,包括白宮的IP地址��。
28天到月末
休眠��,沒(méi)有攻擊活動(dòng)���。
判別方法
|
