computer 版 (精华区)

发信人: wepon (好东东！小园艺菊), 信区: network
标  题: 病毒特级警告
发信站: 听涛站 (2001年08月07日12:46:51 星期二), 站内信件

Trojan.Win32.VirtualRoot & IIS.I-Worm.Body


Trojan.Win32.VirtualRoot & IIS.I-Worm.Body
（RED CODE II）专页
一、病毒基本特性
病毒类型
普通病毒
特洛伊木马
蠕虫
恶作剧程序
----------------------------------------------------------------------------
----
病毒传播平台
WIN 9X
启动了IIS且曾装过MS Index Server 2.0 的WIN 2K/NT
启动了IIS且曾装过Win Indexing Service 的WIN 2K/NT
----------------------------------------------------------------------------
----
病毒来源
■?
 病毒特性
通过IIS平台传播
感染.COM文件
感染.EXE文件
感染网络驱动器
修改注册表
驻留内存
开设后门
开机加载(附带的木马）
故意破坏
降低系统运行速度
暗中破坏
重复感染
多态性
自身加密
危险系数：5级
二、病毒命名对照
　 命名
AVP Trojan.Win32.VirtualRoot
IIS.I-Worm.body
流行叫法 Red CODE 2
三、病毒介绍
这是一个蠕虫木马双特型病毒。
实际上和第一个RED CODE 蠕虫病毒相比，这并不是一个简单的变种，与RED CODE 相比
，这个新蠕虫是极度危险的，因为它不是简单的修改主页，而是通过同样的IIS漏洞实现
对一个木马文件的上载和运行。但它们使用的攻击方式是基本一样的，所以这样我们也
可以用修补预防RED CODE 的方式来预防RED CODE II（参见本站联接）。但是“RED CO
DE II” 和 RED CODE I来比较，我们可以感觉到这是对中国黑客编写RED CODE的一个报
复性产品，而且杀伤力大的多。
这个分析被分成3 部分：
感染
传播
特洛伊木马程序
RED CODE II的攻击原理和最初的RED CODE 一样，所以修复方法和RED CODE I是一样的

微软公司安全补丁下载页面：
Http://www.Microsoft.com/technet/treeview/default.asp?url=/technet/security/
bulletin/MS01-033.asp
用户自己修改IIS的配置避免感染的方法我们在 IIS-Worm.Body (RED CODE) 中已经提供
了配图说明。
如果想检查你的机器是否被感染，你可以看看下列文件是不是存在：
c:\explorer.exe 或 d:\explorer.exe
你IIS的script 文件夹和文件夹msadc中是否有ROOT.EXE这个文件。
如果有的话则你很可能是已经被感染了。
注意：以前曾有一个叫做 sadmin unicode 的蠕虫，也会吧CMD.EXE文件改名为root.ex
e ，所以不能只凭是否有ROOT.EXE存在来判断是否已经中毒。
　
1、感染
================
第一次感染： 首先这个蠕虫会给自己建立一个环境，之后取得本地IP，用来分析子网掩
码(将用来传播)，并且确认当前系统没有被重复感染。之后判断当前操作系统的语言，
是繁体中文还是简体中文。之后判断是否已经被RED CODE感染，如果是的话，这个进程
将转入永远休眠。
之后RED CODE II根据操作系统来增加线程，非中文系统为300条。如果是中文系统那么
将打开600条线程。此时它把大量的繁殖线程转入后台，大规模的复制自己。（这些线程
被用于向其他IP地址发送GET .IDA漏洞请求，参见 IIS-Worm.Body (RED CODE) 介绍）
之后这个它将在系统中安装一个特洛伊木马。
RED CODE II的潜伏期，如果是非中文操作系统他会潜伏1天，对于中文系统它会潜伏2天
。
2、转播
================
用来进一步传播这个蠕虫，这是它会设置一个本地 IP_STORAGE 变量用来储存本地IP，
这个变量用于确定机器不会被重复感染。之后获取系统时间，如果当前时间在2002年后
，或者月份在10月以后，那么这个蠕虫将重起计算机，这样就将转播可能限制在3个月内
。之后蠕虫开始按一定规律生成目标主机IP地址并试图连接一个远程主机，如果能建立
连接那么立刻去试图感染对方主机。
3、特洛伊程序
================
蠕虫会有计划的把cmd.exe 以root.exe的名字复制到msadc 和scripts 目录下，更名为
root.exe,成为了一个可怕的后门。（cmd.exe是黑客攻击NT时梦寐以求的东西，好比UN
IX SHELL）。并且将蠕虫中包含的一段2进制代码拆离成件名为explore.exe的木马到本
地的驱动器(c:\和d:\)。
这个后门，可能会通过修改注册表，把你的c:\，d:\变成iis的虚拟目录。以上两点都是
非常可怕的后门。
四、清除
请用病毒观察独家提供的查杀工具RedCode 2 KILLER 检测清除。
可以 清除redcode II，修复redcode II造成的安全隐患，并为系统提供一个简单的打补
丁，打补丁后无论是redcode还是redcode II,以及其他利用这个漏洞的蠕虫都不能感染
你的系统。
为防止不法之徒篡改本程序，如果您是在其他站点下在的本工具，请用本站公钥viusvi
ew.asc ,通过以下文件 killrc2.exe.sig 对程序验签。
参考资料：
在这里你可以读到更全面的反汇编分析
http://www.Eeye.com/html/advisories/coderedII.zip

--
弱冠弄柔翰，卓荦观群书。  著论准过秦，作赋拟子虚。
边城苦鸣镝，羽檄飞京都。  虽非甲胄士，畴昔览穰苴。
长啸激清风，志若无东吴。  铅刀贵一割，梦想骋良图。
左眄澄江湘，右盼定羌胡。  功成不受爵，长揖归田庐。
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]