发现日期:2001 年 8 月 4 日
更新: 2007 年 2 月 13 日 11:37:20 AM
别称: CodeRed.v3, CodeRed.C, CodeRed III, W32.Bady.C, CodeRed.F
类型: 特洛伊木马, 蠕虫
受影响的系统: Microsoft IIS
由于报告数量的减少,该蠕虫的威胁级别从 4 下降到 3。
CodeRed II(红色代码 Ⅱ)发现于 2001 年 8 月 4 日。由于它同样利用“缓冲区溢出”漏洞传播到其他 Web 服务器,因此被称为原始 CodeRed 蠕虫的变种。Symantec 病毒防治研究中心 (SARC) 已收到大量 IIS Web 服务器受感染的报告。CodeRed II 被认为具有较高的威胁性。
有关检测和杀除原始 CodeRed 蠕虫以及 Symantec 的其他产品会如何为您提供防护的信息,请参阅文档:CodeRed 蠕虫的“其他信息”部分。
有关如何充分利用 Symantec 技术抗击 CodeRed 威胁的信息,请单击此处。
原始的 CodeRed 具有一个有效负载,可以对白宫 Web 服务器进行“拒绝服务”攻击。CodeRed II 具有不同的有效负载,允许黑客对 Web 服务器拥有完全远程访问权限。
SARC 已经创建了一套工具以对计算机进行防漏洞性评估,该工具还可以杀除 CodeRed 蠕虫和 CodeRed II。要想获得该 CodeRed 杀毒工具,请单击此处。
如果运行的是 Microsoft IIS 服务器,强烈建议应用最新的 Microsoft 修补程序来保护计算机免受该蠕虫感染。可在 http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 找到该修补程序。
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp 上提供了 IIS 的累积修补程序,其中包括先后发布的四个修补程序。
Norton AntiVirus 通过将该蠕虫的有效负载(特洛伊木马组件)检测为 Trojan.VirtualRoot,可以检测到 Web 服务器是否被感染。此特洛伊木马利用了 Windows 2000 中的漏洞。请下载并安装下列 Microsoft 安全修补程序以解决该问题并阻止该特洛伊木马再次感染计算机:
http://www.microsoft.com/technet/security/bulletin/MS00-052.asp.
计算机一旦被 CodeRed II 攻击,就很难确定它是否还暴露于其他威胁之下。通常受感染系统不会受到进一步的威胁。不过,其中某些计算机现在已容易受到攻击,存在执行其他恶意活动的可能性。除非可以绝对确定没有对该计算机执行过其他恶意行为(通过阅读日志),否则最好完全重新安装系统。这种方法可以 100% 保证计算机是干净的。病毒定义更新信息
-
首次快速发布版本 2001 年 8 月 5 日
-
最新快速发布版本 正在处理中
-
首次每日认证版本 正在处理中
-
最新每日认证版本 正在处理中
-
2001 年 8 月 5 日
有关快速发布版本和每日认证病毒定义的详细说明,请单击。
威胁评估
分布:
-
分布广度:较低
-
受感染数: More than 1000
-
感染站点:More than 10
-
地理分布范围:中度
-
威胁防止:困难
-
删除: 中等
破坏力
-
破坏力:中度
-
非法操作:Installs a backdoor trojan on the web server allowing remote execution/access
-
危及安全设置: Creates backdoor in web server
散播
-
散播级别: 较高
-
端口: 80
-
感染目标: Microsoft IIS Web Server
本文作者:Peter Szor, Eric Chien
