发现日期:2003 年 3 月 11 日
更新: 2007 年 2 月 13 日 11:44:35 AM
别称: CodeRed.v3, CodeRed.C, CodeRed III, W32.Bady.C, W32/CodeRed.f.worm [McAfee], Win32.CodeRed.F [CA]
类型: Trojan Horse, Worm
受影响的系统: Microsoft IIS
CodeRed.F 与原来的 CodeRed II 只有两个字节之差。CodeRed II 会在年份大于 2001 时重启系统,但该变种没有这种情况。
如果 CodeRed.F 被保存到文件,Symantec 防病毒产品会将其检测为 CodeRed Worm。该蠕虫还会放置会被检测为 Trojan.VirtualRoot 的特洛伊木马程序。现有的 CodeRed 杀毒工具将会正确地检测和杀除该新变种。
有关如何充分利用 Symantec 技术抗击 CodeRed 威胁的信息,请单击此处。
CodeRed.F 扫描可攻击的 Microsoft IIS 4.0 和 5.0 Web 服务器的 IP 地址,并利用缓冲区溢出漏洞感染远程计算机。该蠕虫会将自己直接注入内存,而不是作为文件复制到系统上。此外,CodeRed.F 会创建被检测为 Trojan.VirtualRoot 的文件。Trojan.VirtualRoot 会给予黑客对 Web 服务器的完全远程访问权限。
如果运行的是 Microsoft IIS 服务器,建议您应用最新的 Microsoft 修补程序来预防该蠕虫的感染。可在 http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 找到该修补程序。
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp 上提供了 IIS 的累积修补程序,其中包括先后发布的四个修补程序。
此外,Trojan.VirtualRoot 会利用 Windows 2000 的漏洞。下载和安装以下 Microsoft 安全修补程序以解决该问题并组织该特洛伊木马再次感染计算机:http://www.microsoft.com/technet/security/bulletin/MS00-052.asp。
计算机一旦遭到 CodeRed.F 攻击,就很难确定该计算机是否也暴露在其他威胁之下。
在大多数情况下,不会发生更改(除了 CodeRed.F 或放置的特洛伊木马进行的更改)。但是,黑客可以利用该特洛伊木马访问该计算机以进行更改。
除非您十分确定该计算机上未执行恶意活动,否则请完全重新安装操作系统。病毒定义更新信息
-
首次快速发布版本 2001 年 8 月 5 日
-
最新快速发布版本 正在处理中
-
首次每日认证版本 正在处理中
-
最新每日认证版本 正在处理中
-
2001 年 8 月 5 日
有关快速发布版本和每日认证病毒定义的详细说明,请单击。
威胁评估
分布:
-
分布广度:较低
-
受感染数: 0 - 49
-
感染站点:0 - 2
-
地理分布范围:中度
-
威胁防止:中等
-
删除: 中等
破坏力
-
破坏力:中度
-
非法操作:Installs a backdoor Trojan on the Web server allowing remote execution/access
-
危及安全设置: Creates backdoor in Web server
散播
-
散播级别: 较高
-
端口: 80
-
感染目标: Microsoft IIS Web Server
