(瑞星编译)
[编者简析]
该蠕虫一看就是冲着微软来的,谁让微软漏洞百出的,有漏洞就有人会钻空子。遭殃的确是大部分“无辜”的人,这也就让我们不得不再次强调关注系统漏洞,也是防范病毒一大任务……
[病毒资料]
病毒名称:W32/Bady.worm
发现日期:2001/7/18
该蠕虫感染运行Microsoft Index Server 2.0的系统,或是在Windows
2000、IIS中启用了Indexing Service(索引服务)的系统。该蠕虫利用了一个缓冲区溢出漏洞进行传播(未加限制的Index
Server ISAPI Extension缓冲区使WEB服务器变的不安全)。蠕虫只存在于内存中,并不向硬盘中拷文件。
蠕虫的传播是通过TCP/IP协议和端口80,利用上述漏洞蠕虫将自己作为一个TCP/IP流直接发送到染毒系统的缓冲区,蠕虫依次扫描WEB,以便能够感染其他的系统。一旦感染了当前的系统,蠕虫会检测硬盘中是否存在c:\notworm,如果该文件存在,蠕虫将停止感染其他主机。
蠕虫会“强制”web页 中包含下面的代码:
<html><head><meta http-equiv="Content-Type" content="text/html;charset=English">
<title>HELLO!</title></head><bady><hr size=5>
<fontcolor="red">
<p align="center">Welcome to http://www.worm.com !<br><br>
HackedBy Chinese!</font></hr><
/bady></html>
该页面的显示结果为:
Welcome to http://www.worm.com !
Hacked By Chinese!
[相关内容]
微软索引服务器以及索引服务ISAPI扩充缓冲区溢出漏洞
您的位置: