中联绿盟公布“红色代号”杀毒方案_软件_科技时代

首页 ● 新闻 ● 搜索 ● 短信 ● 分类 ● 聊天 ● 导航


	<A HREF="http://ad.cn.doubleclick.net/jump/tech.sina.com.cn/;abr=!ie;sz=468x60;ord=85756695991387980?" target="_new"><IMG SRC="http://ad.cn.doubleclick.net/ad/tech.sina.com.cn/;abr=!ie;sz=468x60;ord=85756695991387980?" border=0 height="60" width="468"></A>

新浪首页 > 科技时代 > 软件 > 正文

中联绿盟公布“红色代号”杀毒方案

http://www.sina.com.cn 2001年08月13日 11:17 新浪科技

　　高永安(中联绿盟信息技术有限公司董事常务副总经理)/文

　　最近的互联网安全话题自中美黑客大战之后又陡然热闹起来，这次的主角是被称为“红色代号” (CodeRed)的一个新型蠕虫病毒，自从eEye数字安全公司在6月18日首次报告了微软IIS服务器中的.ida漏洞之后， 7月13日，距离eEye首次报告.ida漏洞还不到一个月的时间，就出现了首批感染“红色代号”的报道。虽然微软很快就发布警告称，该漏洞可以造成

非常严重的后果，并且推出了补丁程序，但是，许多IIS服务器的管理员却没有及时安装该补丁程序。

　　“红色代号” (CodeRed)蠕虫是一个利用微软IIS5.0(Windows2000)及IIS4.0(NT4.0)上的系统服务中存在的安全漏洞通过因特网蔓延的蠕虫。蠕虫变种在WINDOWS系统中更改系统设置, 修改WINDOWS文件并放置特洛伊木马程序, 最终导致受感染系统后门大开, 丧失安全策略，一代只侵袭英文的WINDOWS系统，所以对国内的服务器破坏不大，可是最近“红色代号II” (CodeRedII)已经出现并迅速在国内已经开始蔓延，经过某位好事之徒的修改第二代CodeRed 仅在运行微软IIS的WINDOWS2000的系统中传播.，入侵系统后, 蠕虫将CMD.EXE重命名为root.exe后，拷贝到C:盘及D:盘以下目录中: inetpubscripts和program filesmmon filessystemmsadc 。之后, 蠕虫将开始扫描网络, 寻找其它可被攻击的系统, 这一过程在英文WINDOWS2000系统中将持续24小时, 而在运行中文WINDOWS2000的系统中将持续48小时.

　　接着, 蠕虫程序在使用微软IIS5.0(Windows2000)且存在安全漏洞的系统中种植木马程序。即：在C:盘和D:盘的根目录下生成一个大小为8,192字节的EXPLORER.EXE木马程序, 然后重启系统, 执行木马程序.

　　木马程序修改注册键值，并创建两个虚拟IIS目录C和D, 分别映射到系统的C:盘和D:盘，而这些虚拟目录被赋予读写及可执行权限, 这样木马程序通过IIS向所有黑客提供了对被感染服务器C:盘和D:盘的完全控制能力. 在这之后,木马程序会每隔10分钟重复进行以上对注册表项的修改。

　　第二代蠕虫病毒传播速度快，一旦进入你的网络会迅速的以光速在内网所有存在安全漏洞的Winodws2000内存中感染传播，然后，蠕虫发送大量HTTP服务请求，造成Web服务器的服务无法响应，路由器负载过重不能响应，整个网络处于瘫痪的状态。

　　如果您的网络出现了流量上的异常可以通过以下方法侦测和清除“红色代号II” (CodeRedII)首先侦测网络流量，通过查看网络流量及HTTP网络活动，找到通过80端口发送HTTP的0字节无用数据包的机器，进而找到已经感染木马程序的Windows2000/NT的机器。然后从以下微软公司的网站下载补丁文件http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms01-033.asp)，将其安装在Windows2000/NT系统上，修补IIS系统的漏洞。

　　(1)删除C:xplorer.exe和D:xplorer.exe文件(这两个文件为隐藏、只读文件)(2)(3)修改注册表中被病毒修改的键值：HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonSFCDisable=0x FFFFFF9D，改为0；

　　(4)把HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtualRoots中对于c:和d: 的完全控制键删除。(5)(6)删除C:盘及D:盘 inetpubscripts ，program filesmmon filessystemmsadc目录中root.exe文件

　　(7)重启计算机

　　我个人认为“红色代号”系列病毒可以说是计算机病毒史上的又一个划时代的里程碑，上一个里程碑应该是台湾陈盈豪写作的“CIH”系列，“CIH”首先实现了病毒能够通过程序的缺陷来破坏硬件，而这次的“红色代号”则创造性将特洛伊木马和蠕虫病毒加黑客的攻击手段结合在一起并使之具有一定的智能化，通过80端口的传播轻松穿越防火墙，使得目前经过多年发展已经很成熟的防火墙技术形同虚设，利用系统漏洞设置木马程序，更改主页文件只靠目前完善的杀病毒技术也无能为力，单从技术上的角度评判最初的写作者具有伟大的创造性思维，“红色代号”的出现将持续的影响网络安全技术的发展方向。

　　对于类似的恶性病毒我们也不是对此束手无策，根本上来说这是一个社会工程需要广大的互联网用户和专业的网络管理员提高安全意识，聘请专业的安全服务公司和杀病毒软件厂商来提高自己的网络安全水平，随着信息化时代的到来，越来越多的上层建筑将建立在以网络为传输基础的条件上，网络的安全将会和一个国家政治经济乃至军事的安全处在同一个高度上，也要求那些安全领域专业的网络安全公司携起手来精诚合作筑起我们自己的网络长城。

　　科技新闻短信每日传送突发新闻、IT动态
　　订中国概念股行情短信为中国互联网加油

【发表评论】【应用软件】【短信推荐】【关闭窗口】