Welcome to www.worm.com !HackedBy Chinese!然后，该页面的显示结果为：Welcome to www.worm.com ! Hacked By Chinese!

　　在迅速传播的过程中，“红色代码”蠕虫能够造成大范围的访问速度下降甚至阻断。它所造成的破坏主要是涂改网页,对网络上的其它服务器进行攻击，被攻击的服务器又可以继续攻击其它服务器。在每月的20-27日，向特定IP地址198.137.240.91(www.whitehouse.gov)发动攻击。病毒最初于7月19日首次爆发，7月31日该病毒再度爆发，但由于大多数计算机用户都提前安装了修补软件，所以该病毒第二次爆发的破坏程度明显减弱“红色代码”采用了一种叫做"缓存区溢出"的黑客技术，利用网络上使用微软IIS系统的服务器来进行病毒的传播。这个蠕虫病毒使用服务器的端口80进行传播，而这个端口正是Web服务器与浏览器进行信息交流的渠道。“红色代码”主要有如下特征：入侵IIS服务器，code red会将WWW英文站点改写为“Hello! Welcome to www.Worm.com! Hacked by Chinese!”；与其它病毒不同的是，Code Red并不将病毒信息写入被攻击服务器的硬盘。它只是驻留在被攻击服务器的内存中，并借助这个服务器的网络连接攻击其它的服务器。

　　3、“红色代码II”(CodeRedII)病毒相关资料

　　“红色代码II”是“红色代码”的改良版，病毒作者对病毒体作了很多优化，它继承了“红色代码”病毒的攻击特点，同样可以对“红色代码”病毒可攻击的联网计算机发动进攻，但与“红色代码”不同的是，这种新变型不仅仅只对英文系统发动攻击，而且可以攻击任何语言的系统。此外这种病毒还可以在遭到攻击的机器上植入“特洛伊木马”，使得被攻击的机器“后门大开”。“红色代码II”拥有极强的可扩充性，通过程序自行完成的木马植入工作，使得病毒作者可以通过改进此程序来达到不同的破坏目的。

　　当本地IIS服务程序收到某个来自“红色代码II”(CodeRed II)发送的请求数据包时，由于存在漏洞，将导致处理函数的堆栈溢出。当函数返回时，原返回地址已被病毒数据包覆盖，程序运行线跑到病毒数据包中，此时病毒被激活，并运行在IIS服务程序的堆栈中。病毒代码首先会判断内存中是否以注册了一个名为CodeRedII的Atom(系统用于对象识别)，如果已存在此对象，表示此机器已被感染，病毒进入无限休眠状态，未感染则注册Atom并创建300个病毒线程，当判断到系统默认的语言ID是中华人民共和国或中国台湾是，线程数猛增到600个，创建完毕后初始化病毒体内的一个随机数发生器，此发生器产生用于病毒感染的目标电脑IP地址。每个病毒线程每100毫秒就会向一随机地址的80端口发送一长度为3818字节的病毒传染数据包。

　　此后，病毒会将系统目录下的CMD.EXE文件分别复制到系统根目录\inetpub\scripts和系统根目录\progra~1\common~1\system\MSADC目录下，并取名为root.exe。然后从病毒体内释放出一个木马程序，复制到系统根目录下，并取名为explorer.exe,此木马运行后会调用系统原explorer.exe，但注册表中很多项已被修改。由于释放木马的代码是个循环，如果目的目录下explorer.exe发现被删，病毒又会释放出一个。最后病毒休眠24小时(中文版为48小时)强行重启计算机。当病毒线程在判断日期大于2002年10月时，会立刻强行重启计算机。

　　4、“红色代码”病毒发展来龙去脉

　　溯源6月18日，微软公司宣布在IIS网络服务器软件中发现一个漏洞，而IIS软件是架设网站最基础的软件之一，而这正是黑客梦寐以求的软件缺陷，从而引发了全球黑客对这一软件“缺陷”的高度重视。7月13日，一家名为“左岸系统”的公司称，几台服务器遭到一种新病毒的入侵，利用的正是IIS服务器软件的这个缺陷。7月16日，发现微软软件漏洞的软件公司程序员把一种饮料名称赋予了这个病毒，称之为：红色代码(CodeRed)。7月18日午夜，红色代码大面积暴发，被攻击的电脑数量达到35.9万台。被攻击的电脑中44%位于美国，11%在韩国，5%在中国，其余分散在世界各地。7月19日，这个名为“红色代码”的病毒开始疯狂攻击美国白宫网站，白宫网站管理员将白宫网站从原来的IP地址转移到另外一个地址，才幸免于难。然而灾难并没有结束，这个蠕虫病毒已复制变成10多万个，并且以每4.5小时400MB的速度大量发送垃圾信息。7月19日，“红色代码”停止猛攻进入休眠期，不再进行大规模的活动。7月20日，瑞星公司通过全球病毒监控网获得“红色代码”病毒样本。7月31日，格林尼治时间午夜整点，“红色代码”将再度复活，在全球大面积蔓延，由于某些受感染的网站上出现“中国黑客入侵”的字样，国外媒体产生“病毒制造者是否来自中国”的猜测，但由于制作者没有留下任何蛛丝马迹，而且首次爆发主要在美国等地，所以这只能是一种猜测。

　　变身：7月31日爆发的病毒已经做了修改，对其中一些错误进行了修正，使其传播和攻击能力进一步加强。然而，人们却没有料到，“红色代码”病毒再次经过修改，其变种卷土重来，这次扑向的是使用中文系统的网站。据瑞星公司技术部门分析的结果表明：作为改进后的版本，“红色代码”可以创建300个线程在网络上查找未感染的计算机，当判断到系统默认的语言是中华人民共和国或中国台湾时，查找线程数猛增到600个，占用大量系统资源和网络资源，造成网络拥堵。瑞星公司的模拟实验显示：病毒采用随机产生IP地址的方式，每个病毒每天能够扫描40万个IP地址，搜索未被感染的计算机，在寻找到“猎物”后，病毒会向寄生虫一样，通过自我安装感染服务器，一旦在某台服务器中安装成功，接下来它就会利用这台服务器，搜寻更多的感染目标，其传播速度非常惊人。更可怕的是，在感染计算机后，它还从病毒体内释放出一个木马程序，驻留在计算机当中，为入侵者大开方便之门。“红色代码”病毒的传播机理不同于以往的文件型病毒和引导型病毒，采用的机理很特殊，利用WINTEL构架的缺点，它只存在于内存当中，传染时不通过文件这一常规载体，直接从一台电脑内存到另一台电脑内存。如果把所有的计算机都同时关掉，病毒将不复存在，而这样做完全是不可能的。

　　5、“红色代码”病毒灾情报道

　　2001年7月中，“红色代码”病毒在美国等地大面积蔓延，攻击白宫网站造成恐慌。自其被发布到互联网上之后，短短9个小时内就感染了25万台电脑。8月初，红色代码病毒进入了第二个高峰期，其变种“红色代码II”针对中文系统作了修改，增强了对中文网站的攻击能力，其造成的危害包括网络性能急剧下降，路由器、交换机等网络设备负载加重，甚至崩溃等。目前，该病毒已在国内大面积蔓延，致使很多用户网络系统瘫痪。

　　8月7日，公安部发布紧急通告，要求加强对“红色代码II”恶性病毒的防范。截止到8月8日下午3：00，据瑞星公司统计显示，计算机信息行业是最近“红色代码II”的最大受害对象。统计显示，发作的行业集中在计算机信息行业和网站，约占70-80%,其次就是企事业单位，包括学校，政府机构等，约占20%-30%；其中北京地区发作最为严重，约占80%，其他主要发作地区包括天津，河南，厦门，大连，上海等。来自用户的反馈统计显示，病毒发作现象最主要表现为IIS服务器极慢，服务时常停止，或有自动的重启动现象。同时，瑞星公司在分析解剖"红色代码II"的过程中，又发现该恶性病毒的新招术，感染计算机后，病毒修改操作系统注册表，将Scripts、MSADC、C盘和D盘的属性改为可读写，这样便可以实现远程操控，对其进行读写操作，并通过网络盗走资料数据。

　　截止到8月18日下午17时，从国家因特网应急小组协调办公室了解到，已经探测到我国有超过600台的服务器感染了“红色代码Ⅱ”病毒，遭受该病毒攻击、破坏的程度仍然非常严重。

　　6、“红色代码”病毒解决方案：

　　瑞星公司率先针对“红色代码”病毒提供解决方案

　　对于企业级用户而言，建议参考方案一：

　　在以往传统的网络信息安全保护体系中，要清除网络体系内的病毒和黑客程序，必须采用在网络出口处设置防火墙或入侵检测软件，通过日志或流量异常定位网络病毒的存在，再使用反病毒软件进行清除，这样的做法不仅成本高昂，而且操作复杂，是一种被动式的查杀方法。针对这种普遍存在的问题，瑞星公司一直在依靠自身高超的技术和企业级应用经验，试图寻找到最为合理的解决办法。现在，当“红色代码”及其变种开始肆虐中国的网络系统时，瑞星公司立刻着手实施了自己酝酿已久的网络版改造计划，将瑞星独创的“全网杀毒”技术引入网络信息安全体系之中。瑞星所提供的瑞星杀毒软件网络版+微软补丁程序成为了彻底解决“红色代码”类病毒的最佳方法。利用瑞星杀毒软件网络版独有的“全网杀毒”功能，系统管理员可以通过瑞星移动控制台，只需几分钟，不仅可杀灭全网范围内的“红色代码”病毒，同时还可准确了解网络中存在IIS安全漏洞的所有计算机。只要对这些存在IIS安全漏洞的计算机安装微软补丁程序，就可防范“红色代码”类病毒再次攻击，彻底与“红色代码”告别。借助“全网杀毒”这一技术，系统管理员可以通过瑞星移动控制台，只需几分钟即可杀灭全网范围内的各种病毒和黑客程序，并报告网络中每台计算机是否存在安全漏洞，使原本被动繁锁的病毒清除工作，变成主动轻松的一键操作方式，大大节省了系统管理员的劳动强度和软件使用难度。同时，由于瑞星网络版具有智能自动升级功能，通过瑞星网站升级程序可以实现同步更新，更保证了对新病毒防范的时效性。

　　此外，有关“红色代码”病毒及其变种的具体查杀方法，请详细参考瑞星公司网站(http://www.rising.com.cn)，在该网站上，瑞星已提供全面的解决方案；如果遇到技术方面的障碍，瑞星公司技术服务部门安排有24小时800免费电话，集团用户可以提供上门服务。

　　对于所有计算机个人用户以及企业用户，可参照方案二：CodeRed利用IIS WEB(Internet信息服务器)的漏洞传播,可以按照以下措施防范：1.用瑞星杀毒软件2001版(12.36及以上版本)检测,若报内存中有CodeRed病毒,则你的系统已受到CodeRed的攻击.2.如果系统已被感染，请到微软处下载安装补丁

　　Windows 2000 Professional, Server and Advanced Server需要先升级到SP1--http://www.microsoft.com/windows2000/downloads/servicepacks/default.asp然后到以下链接,下载补丁修补漏洞：http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800

　　Windows NT version 4.0需要升级到SP6--http://www.microsoft.com/ntserver/default.asp然后到以下链接,下载补丁修补漏洞.http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833

　　3.升级补丁后,重启计算机.系统将不会再受到CodeRed的攻击,用瑞星杀毒软件2001版(12.36及以上版本)检测硬盘,清除CodeRed附带的木马程序,彻底封杀CodeRed系列病毒.

　　4.CodeRed2会以读写方式映射C盘和D盘,并将Scripts、MSADC的属性改为可读写.并将系统目录下的CMD.EXE复制到\Inetpub\scripts下,并以root.exe命名,以达到远程控制的目的.需手工恢复原有属性.操作如下：打开"控制面板",找到"管理工具",运行"Internet信息服务",在其"默认的Web站点"选项中将Scripts和MSADC的属性改为原有属性。C,D项一般不存在,建议直接删除.并将Scripts目录中的root.exe删除.

　　7、附：瑞星追杀“红色代码”纪实一：

　　与病毒打了长达十几年之久的著名反病毒专家、瑞星公司总经理刘旭这样评价“红色代码”病毒：这是一种新型网络病毒，非常可怕，所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合，开创了网络病毒传播的新路，可称之为划时代的病毒。如果稍加改造，将是非常致命的病毒，可以完全取得所攻破计算机的所有权限为所欲为，可以盗走机密数据，严重威胁网络安全。如果能够得到著名反病毒专家这么高的评价，那么这个病毒也足够引发人们的重视了。况且，红色代码之父没有留下任何蛛丝马迹，而且受攻击的网站经常出现“中国黑客入侵”字样，这更给这个病毒的身世添上了神秘的色彩。8月6日上午，瑞星公司24小时800免费电话接连打来电话，其中一家企业网络处于瘫痪状态，服务器一天重新启动二十余次，下午紧急召集瑞星等三家著名反病毒厂商现场会诊，瑞星技术人员根据现象当即断定是红色代码新的变种，马上进行现场采样，连夜分析，经过一夜的艰苦奋战，至凌晨4：30，拿出解决方案，到5：40升级程序编制完成，6：00整，升级程序及相关资料全部公布在瑞星网站上。也是这一天，公安部发布紧急通告，加强防范“红色代码”病毒。8月7日一大早，瑞星公司技术人员再次通报：经过仔细分析解剖"红色代码"的变种，又发现该恶性病毒的新招术，在它感染计算机后，修改操作系统注册表，将Scripts、MSADC、C盘和D盘的属性改为可读写，这样便可以远程操控感染计算机，对其进行读写操作，并通过网络盗走资料数据。很多用户在清除该病毒并弥补软件漏洞之后，并没有恢复以上四项的属性，特别是C盘和D盘的读写操作属性，这为黑客留下了可乘之机，瑞星公司提出了相应的解决办法。

　　8、附：瑞星追杀“红色代码”病毒纪实二：

　　面对“红色代码”的瑞星技术支持

　　2001年8月6日晚，瑞星公司800电话的值班人员小高，不时接到用户这样的电话：“我们单位的服务器都瘫痪了，服务器的所有的IIS程序已不能运行了”、“我们的服务器访问速度急剧下降，只开一个浏览器都不行，这是为什么？”。刚接到第一个电话的时候小高还以为是用户自己的系统有了问题，或者是ISP网络服务商出现了故障。但是情况渐露端倪，常规的几种方法都试过了，用户均告知没有用，而瑞星最新的升级程序还没有发布，此时已是凌晨两点多。之后，每一个打入求助电话的用户，均在800电话值班表上被小高留下了详细的姓名和联系方式，以及异常现象的描述。一个、两个、五个......越来越多，沉睡的夜色里，整座中科大厦只有瑞星公司值班工作室的灯通宵亮着。事实上，早在8月6日下午，就有用户报告网络瘫痪，三家反病毒企业前去会诊，瑞星技术人员当场确定是红色代码的最新变种，现场采样，连夜分析。凌晨四点半，瑞星杀毒软件紧急升级，攻克新病毒“红色代码II”的最新杀毒程序被工作人员放到了瑞星的网站。天渐渐亮起来，接到电话的高级技术工程师，比正常上班时间早了两个小时就赶到了公司。并马上通知工作人员熟悉病毒特征，这时呼叫中心的工作人员都陆续到齐了。虽然此时离上班时间还有1个多小时，但是办公室的气氛已经进入紧急状态。每个人桌上的电话更是此起彼伏的响起来，许多的电话都在说：“我们服务器的IIS服务一运行就死机......”。已经到位的工作人员,迅速根据小高值班电话中记录的客户信息，指导用户查杀这个病毒。电话不断响起，各种各样的客户，不同的系统情况，不同的病毒破坏状况，而相同的是用户都在向瑞星寻求解决方案。此时如何让紧张的用户平静下来；如何切实给用户以适当的解决方案；如何更准确的掌握不断变换的病毒蔓延范围和趋势；如何为公司的新闻发布和决策以及病毒破解程序提供准确的信息，这些重担都一一落在了瑞星呼叫中心工作人员的肩上。他们比平时更加耐心和仔细的询问、回答、记录，同时配合着公司技术部门指导用户如何清除该病毒。研发人员已经在最短的时间内分析了病毒的源代码并写出清除它的程序，瑞星杀毒软件版本在用户早上开机的第一时间内进行了紧急升级。呼叫中心的工作人员紧张地统计着病毒发作的范围和程度等，可以说担当着“内引外联”的重要角色：对外，他们帮助广大用户彻底查杀这个来势汹汹的病毒，对内则积极的配合瑞星的研发和市场工作。在当天晚间的电视新闻中，当主持人报道：“今天，‘红色代码II’在全国范围内爆发。据最新的国家计算机病毒应急处理中心统计报告，全国已经有近百例用户感染。‘红色代码’蠕虫病毒迅速传播，造成大范围的网络访问速度下降甚至中断。‘红色代码’蠕虫造成的破坏主要是涂改网页，对网络上的其它服务器进行攻击。被攻击的服务器将继续攻击其它服务器。现在相关的反病毒软件企业如北京瑞星公司已能对该病毒进行彻底查杀。请用户及时将具有以上特征的可疑邮件删除，或升级杀毒软件，保护电脑中的宝贵信息…..瑞星公司呼叫中心的员工终于轻轻松了一口气，明天还有更紧张的工作等待着他们，但他们坚信自己会做得更好！

　　附文：瑞星推出最新技术，一键查杀全网“红毒”

　　8月的北京，骄阳似火，但是在中央空调大量使用的各大写字楼与机关办公大楼里，另一种无形的煎熬却以远比夏日阳光更为酷烈的方式冲击着很多人的身心——“红色代码”这个被专家称为“结合病毒与黑客技术的里程碑式新型病毒”的家伙，在几乎一夜之间席卷了全球网络。而中国的网络体系也一样无法幸免，北京作为中国政治经济和信息的首善之区，更是成为此次“红色代码”攻击狂潮中的重灾区。而更有相关专家提出警告，认为本月13日，“红色代码”的变种病毒很可能再一次大面积爆发，因此如何尽快寻求一种安全、可靠、全面的网络信息安全解决方案，就成为目前困扰着各大企事业单位和国家机关信息部门主管的一个棘手问题。对此，来自中国著名的信息安全产品及服务提供商，瑞星公司的最新消息指称，瑞星2001网络版软件已经根据“红色代码”系列病毒的特点，进行了快速更新，完成了最新功能的拓展。目前，瑞星2001网络版软件已经能够实现全网“一键杀毒”，为各种类型和规模的网络用户提供方便快捷的清除病毒服务。

　　众所周知，在以往传统的网络信息安全保护体系中，要清除网络体系内的病毒和黑客程序，必须采用在网络出口处设置防火墙或入侵检测软件，通过日志或流量异常定位网络病毒的存在，再使用反病毒软件进行清除。这样的做法不仅成本高昂，而且操作复杂。对于企业内部网络规模比较大的企业级应用，所产生的时间和经济成本，都是需要相关的信息管理部门认真核算的。不仅如此，由于其中涉及到的终端分散越广，不安全的随机因素就越多，因此最终达到的效果就越不理想。尤其当“红色代码”这样一种完全寄生在网络上的新型病毒出现以后，传统的信息安全保障体系的合理性就更是不能令人满意。

　　针对这种普遍存在的问题，瑞星公司一直在依靠自身高超的技术和企业级应用经验，试图寻找到最为合理的解决办法。现在，当“红色代码”及其变种开始肆虐中国的网络系统时，瑞星公司立刻着手实施了自己酝酿已久的网络版改造计划，将瑞星独创的“全网杀毒”技术引入网络信息安全体系之中。借助这一技术，系统管理员可以通过瑞星移动控制台，只需几分钟杀灭全网范围内的各种病毒和黑客程序，并报告网络中每台计算机是否存在安全漏洞，使原本被动繁锁的病毒清除工作，变成主动轻松的一键操作方式。

　　同时，由于瑞星网络版具有智能自动升级功能，通过瑞星网站升级程序可以实现同步更新，更保证了对新病毒防范的时效性。在此次"红色代码"恶性网络病毒大规模爆发的过程当中，1300多家采用瑞星网络版的用户无一受到病毒的侵害，更证明了这种网络病毒查杀新技术的使用效果。

　　新浪天堂隆重发布，百万玩家迎接公开测试