|
这两天放在实验室的主机一直在被攻击,以至于不得不封掉了一些频繁对主机进行攻击的IP段,得等到这段峰头过了才能打开
今天在其他地方看到红色代码的一点小资料,正好转过来,大家也好防止防止
--------------------------------------------------------
几年来第一次发现俺中招了!
这一阵老发现有不明的信息从本机流出,用ZoneAlarm拦住它一看,原来是IIS服务器干的。搞得我上网时不敢开IIS。开头还没当一回事,以为是MS搞了什么鬼,后来觉得不对,一查Red Code 2的症状,正好相似,下了个Killrc2一试,果然中招了!
这个病毒利用了IIS的漏洞,所以只需要开着IIS,就可能中招,根本无需其它方法。不过当然啦,用win98或没装IIS的同志大可高枕无忧……
下面是国内著名黑客江海客在新浪的帖子:
Red Code 2特急警报
江海客(avbox@china.com)
自从昨晚到今天早上,根据一些情况紧急贴出了
Red Code的警报后,今天全天发现,问题比我昨天
想象的严重的多。
其严重问题包括:
1、当前在国内流行的病毒,虽然传播机理与Red
Code相同,但是其危害要大的多,关键是所有感
染了该变种蠕虫的机器,都等于被开设了两类及
其危险的后门。应该说,国内目前有大量的NT/
2000服务器,陷于极度危险的境地。千万恳请,
国内有关单位和部门,不要掉以轻心,迅速检查
你们的服务器,否则可能给国家或企业带来重大
损失。
2、传播之广之快令人震惊,今天我们一台安装了
单机IDS Numan NET的拨号节点,在不足10个小时,
的连接时间中,收到了1034个Red Code蠕虫发出的
请求。比昨天晚上继续增加。一些大系统的网络
维护人员反映,有部分网段几乎瘫痪。
3、这个蠕虫从特性上看,有对Red Code的流行对
中国进行报复的嫌疑,如果感染的系统不是中文
平台,则用300个线程继续发出联接请求,如果是
中文平台则用600个线程发出联接请求。因此中国
和周边地区的传播比欧美会大大加快。
4、反病毒企业对该病毒的响应不是很快。由于
Red Code2是没有文件载体的蠕虫,因此多数反病
毒软件只能查出蠕虫拆离出的后门程序,但不能
发现内存中的蠕虫本身。同时,普通用户除了这
个后门程序,根本没有能力提取蠕虫的内存映像
,我估计有部分反病毒企业目前还不明白事情的
所以然。
5、一般用户不知如何修补自己的系统,使之不
被感染。很多用户重装系统后再次遭受感染。
Antiy Labs IDS开发组,紧急写了一个应急的查
杀程序,授权病毒观察站virusview.net在相应
的疫情相应栏目中发布。
下载地址为:
http://www.virusview.net/download/sptools/other/killrc2.exe
该程序可以清除当前流行的Red Code2安置在系
统中的木马,并将蠕虫对系统的修改复原,同时在
用户允许的情况下,为用户系统打上非官方补丁。
用该程序查杀完成后,请用户马上重新启动。
为了防止不法之徒篡改本程序:
本站发布了利用本站公钥
http://www.virusview.net/virusview.asc
对这个程序的签名
http://www.virusview.net/download/sptools/other/killrc2.exe.sig
如果你对在病毒观察以外的站点下载的killrc2.exe
不放心,可以用pgp验签。
请用户注意:如果发现以下情况,你的机器可能
被该蠕虫或者新的变种感染,需要用killrc2.exe查
杀病毒。
1、c:、d:下出现EXPLORER.EXE文件,大小为8k
左右。
2、你的IIS的虚拟的具有可执行权限的目录script
、MSADC目录下出现root.exe(实际是cmd.exe的副本)
3、你的系统无故大量对外发送数据包。
如果你的系统是NT/2000安装了IIS,没有打过相关
补丁的,可以在IIS WWW服务属性中把 .ida、.idq
映射删除,也可以直接更名%windir%System32idq.dll
。如果你不会处理,killrc2.exe在你许可情况下会自动
更名该文件。
另外,我们发现这个蠕虫修改起来非常容易,可能很快
会产生新变种如果大家遇到新问题,发现木马有新变异,
请mailvirusview@china.com和各大反病毒公司。
我们已经在virusview.net上提供了关于该病毒的中文资
料,如果有必要,我们还会继续升级killrc2.exe。
特别感谢
中联绿盟袁哥,由于我今天只拿到了EXPLORER.EXE(
Trojan.Win32.VirtualRoot 样本),只反汇编分析出了开
设后门的过程。但Trojan.Win32.VirtualRoot确实没有传
播能力,因此极度困惑。特别感谢他对问题的说明,和向
我提供eeye的蠕虫反汇编报告。
9958.com 幼虫,他一直关心此事的进展,并提供了病
毒传播的最新情况。
|
|