精华区文章阅读

发信人: Arg (8小时工作日), 信区: network
标  题: 关于IIS蠕虫CodeRed的紧急说明
发信站: 听涛站 (2001年08月06日23:27:55 星期一), 站内信件

发信人: seak (江海客-加强计划性，开发无不胜), 信区: Security
标  题: 关于IIS蠕虫CodeRed的紧急说明
发信站: BBS 水木清华站 (Mon Aug  6 07:48:35 2001) WWW-POST

关于IIS蠕虫CodeRed的紧急说明
    蠕虫IIS-Worm.Bady，又名"Code Red"，国内翻译为
红色代码，已经在国内大规模泛滥。
    前天，8月4日，先后收到多个Web站点负责人的求助，
症状均为IIS启动后不久就停掉。
    昨天晚上，由于整夜上载因万网遭到大规模攻击而
被破坏的病毒观察，机器开了一整夜，结果我们自己的
IDS截获到了来自几十个IP的大量GET/ default.ida?XX
请求。可见该蠕虫已经豪某稍帧
�    关于该蠕虫的具体机理来不及说了，稍候请看病毒
观察virusview.net的疫情响应。

    说明：
    1、该蠕虫是一个IIS（Microsoft Internet Infom
ation Server）蠕虫，只对安装了IIS系统的机器有威胁。
    2、这个蠕虫是通过一个名为"Unchecked Buffer in
Index Server ISAPI Extension" 的漏洞，造成IIS溢出
来使自身传播的。有关详情清见eeye等公司的分析报告
（这次Code Red利用的漏洞就是eeye发现的）
   3、病毒观察会马上给出疫情响应专题。

    尚未感染此蠕虫的用户可以如下处理，

    管理工具IIS管理器/主目录（活页）/配置（按钮）/
把应用程序映射的.idq删除。
    或者把%windowsdir%\system32中的idq.dll备份后删除。
   这个文件属于index server的一部分，安装iis时默认安装的
一般的WEB 应用不会用到index service，尤其是国内用户，使用
这个得比较少，不必担心。可能很多用户说不知道index service
是什么，既然不知道是什么就更不会用到了，是不是；-）

    微软已经提供了官方补丁，在此页面中下载
    http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

网络监控：
如果用户大量收到类似如下的HTTP请求应为是Code Red在传播。

GET /default.ida?{之后有224个相同的字母}%u9090%u6858%ucbd3%u7801%u9090
  %u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003
  %u8b00%u531b%u53ff%u0078%u0000%u00....

采用snort规则兼容系统的IDS用户，可以添加如下规则，来监控病毒的请求。

alert tcp !$HOME_NET any -> $HOME_NET 80 (msg:" Code Red- IIS-Unchecked
Buffer in Index Server ISAPI Extension";flags:PA; content:"/default.ida";
nocase;)

草草写成，如果有问题，请修改补充。

--

--
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]

computer 版 (精华区)