(瑞星研发)
一.病毒信息:
病毒名称: CodeRedII
别名:红色代码
二.病毒详细资料:
1.病毒依赖的系统:WinNT/2000(安装且运行了IIS服务程序)
2.病毒的感染:通过IIS漏洞,使IIS服务程序处理请求数据包时溢出,导致把此“数据包”当作代码运行。病毒驻留后再次通过此漏洞感染其它服务器。
3.病毒的发作:强行重起计算机
4.其他信息:
CodeRedII(红色代码2)是CodeRed(红色代码)的改进版。它不同于以往的文件型病毒和引导型病毒,只存在于内存,传染时不通过文件这一常规载体,直接从一台电脑内存到另一台电脑内存。和CodeRed不同的是CodeRedII病毒体内还包含一个木马程序,这使得CodeRedII拥有前身无法比拟的可扩充性,只要病毒作者愿意,随时可更换此程序来达到不同的目的。
5.程序流程:
当本地IIS服务程序收到某个来自CodeRedII发的请求数据包时,由于存在漏洞,导致处理函数的堆栈溢出(Overflow)。当函数返回时,原返回地址已被病毒数据包覆盖,程序运行线跑到病毒数据包中,此时病毒被激活,并运行在IIS服务程序的堆栈中。
病毒代码首先会判断内存中是否以注册了一个名为CodeRedII的Atom(系统用于对象识别),如果已存在此对象,表示此机器已被感染,病毒进入无限休眠状态,未感染则注册Atom并创建300个病毒线程,当判断到系统默认的语言ID是中华人民共和国或中国台湾是,线程数猛增到600个,创建完毕后初始化病毒体内的一个随机数发生器,此发生器产生用于病毒感染的目标电脑IP地址。每个病毒线程每100毫秒就会向一随机地址的80端口发送一长度为3818字节的病毒传染数据包。完成上述工作后病毒将系统目录下的CMD.EXE文件分别复制到系统根目录\inetpub\scripts和系统根目录\progra~1\common~1\system\MSADC目录下,并取名为root.exe。然后从病毒体内释放出一个木马程序,复制到系统根目录下,并取名为explorer.exe,此木马运行后会调用系统原explorer.exe,运行效果和正常explorer程序无异,但注册表中的很多项已被修改。由于释放木马的代码是个循环,如果目的目录下explorer.exe发现被删,病毒又会释放出一个。
最后病毒休眠24小时(中文版为48小时)强行重起计算机。当病毒线程在判断日期大于2002年10月时,会立刻强行重起计算机。
您的位置: