CodeRed.F

发现： 2003 年 3 月 11 日
　　更新： 2007 年 2 月 13 日 11:44:38 AM
　　别名： CodeRed.v3, CodeRed.C, CodeRed III, W32.Bady.C, W32/CodeRed.f.worm [McAfee], Win32.CodeRed.F [CA]
　　类型: Trojan Horse, Worm
　　受感染的系统： Microsoft IIS
　　CVE 参考： CVE-2001-0500 CVE-2001-0506
　　CodeRed.F 与原来的 CodeRed II 只有两个字节之差。CodeRed II 会在年份大于 2001 时重启系统，但该变种没有这种情况。
　　如果 CodeRed.F 被保存到文件，Symantec 防病毒产品会将其检测为 CodeRed Worm。该蠕虫还会放置会被检测为 Trojan.VirtualRoot 的特洛伊木马程序。现有的 CodeRed 杀毒工具将会正确地检测和杀除该新变种。
　　有关如何充分利用 Symantec 技术抗击 CodeRed 威胁的信息，请单击此处。
　　CodeRed.F 扫描可攻击的 Microsoft IIS 4.0 和 5.0 Web 服务器的 IP 地址，并利用缓冲区溢出漏洞感染远程计算机。该蠕虫会将自己直接注入内存，而不是作为文件复制到系统上。此外，CodeRed.F 会创建被检测为 Trojan.VirtualRoot 的文件。Trojan.VirtualRoot 会给予黑客对 Web 服务器的完全远程访问权限。
　　如果运行的是 Microsoft IIS 服务器，建议您应用最新的 Microsoft 修补程序来预防该蠕虫的感染。可在 http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 找到该修补程序。
　　http://www.microsoft.com/technet/security/bulletin/MS01-044.asp 上提供了 IIS 的累积修补程序，其中包括先后发布的四个修补程序。
　　此外，Trojan.VirtualRoot 会利用 Windows 2000 的漏洞。下载和安装以下 Microsoft 安全修补程序以解决该问题并组织该特洛伊木马再次感染计算机：http://www.microsoft.com/technet/security/bulletin/MS00-052.asp。
　　计算机一旦遭到 CodeRed.F 攻击，就很难确定该计算机是否也暴露在其他威胁之下。
　　在大多数情况下，不会发生更改（除了 CodeRed.F 或放置的特洛伊木马进行的更改）。但是，黑客可以利用该特洛伊木马访问该计算机以进行更改。
　　除非您十分确定该计算机上未执行恶意活动，否则请完全重新安装操作系统。
　　防护
　　* 病毒定义（每周 LiveUpdate™） 2001 年 8 月 5 日
　　* 病毒定义（智能更新程序） 2001 年 8 月 5 日
　　威胁评估
　　广度
　　* 广度级别： Low
　　* 感染数量： 0 - 49
　　* 站点数量： 0 - 2
　　* 地理位置分布： Medium
　　* 威胁抑制： Moderate
　　* 清除： Moderate
　　损坏
　　* 损坏级别： Medium
　　* 有效负载： Installs a backdoor Trojan on the Web server allowing remote execution/access
　　* 危及安全设置： Creates backdoor in Web server
　　分发
　　* 分发级别： High
　　* 端口： 80
　　* 感染目标： Microsoft IIS Web Server
　　CodeRed.F 利用 Idq.dll 文件中已知的缓冲区溢出漏洞，将自己安装在随机的 Web 服务器上，从而进行传播。只有尚未使用最新的 Microsoft IIS 服务包修补的系统才可能受到感染。
　　Microsoft 已发布了有关该漏洞的信息，可从 http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 获得 Microsoft 修补程序。http://www.microsoft.com/technet/security/bulletin/MS01-044.asp 上提供了 IIS 的累积修补程序，其中包括先后发布的四个修补程序。建议系统管理员应用 Microsoft 修补程序以防止被该蠕虫感染并阻止其他非授权访问。
　　当 Web 服务器受到感染时，该蠕虫会：
　　1. 调用其初始化例程，确定 IIS Server 服务的进程地址空间中 Kernel32.dll 的基本地址。
　　2. 查找 GetProcAddress 的地址。
　　3. 开始调用 GetProcAddress 来获取对一组 API 地址的访问权限，例如：
　　LoadLibraryA
　　CreateThread
　　..
　　..
　　GetSystemTime
　　然后，该蠕虫会加载 WS2_32.dll 以访问 socket、closesocket 和 WSAGetLastError 等函数。该蠕虫会从 User32.dll 获得 ExitWindowsEx，用于重新启动系统。
　　主线程检查两个不同的标记符：
　　1. 第一个标记符是“29A”，它控制 Trojan.VirtualRoot 的安装。
　　2. 另一个标记符是名为“CodeRedII”的信号。如果存在该信号，此蠕虫会进入无限睡眠状态。
　　接着，主线程将检查默认语言。如果默认语言是中文（无论繁体还是简体），它将创建 600 个新线程，否则，只创建 300 个。这些线程将产生一些随机的 IP 地址，用于搜索要感染的新 Web 服务器。这些线程运行时，主线程会将 Cmd.exe 文件从 Windows NT \System 文件夹复制到下列文件夹（如果存在）：
　　* C:\Inetpub\Scripts\Root.exe
　　* D:\Inetpub\Scripts\Root.exe
　　* C:\Progra~1\Common~1\System\MSADC\Root.exe
　　* D:\Progra~1\Common~1\System\MSADC\Root.exe
　　如果该蠕虫放置的特洛伊木马程序已更改了注册表键，
　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
　　（通过添加几个新键并将用户组设置为 217），黑客就能够发送 HTTP GET 请求以在受感染的 Web 服务器上运行 scripts/root.exe ，从而完全控制该 Web 服务器。
　　主线程在中文系统中睡眠 48 小时，在其他系统中睡眠 24 小时。这 300 或 600 个线程将继续运行并试图感染其他系统。主线程从睡眠中唤醒后将导致计算机重新启动。另外，所有线程都会检查当前月份是否是 10 月或超过 10 月，或当前年份是否大于 34951 年，如果是，将重新启动计算机。
　　此蠕虫将命令解释程序 (cmd.exe) 复制到 IIS Web 服务器的默认可执行目录下，从而实现远程控制。它还将一个属性设置为隐藏、系统和只读的文件以 C:\Explorer.exe 或/和 D:\Explorer.exe 形式放入根驱动器上。Norton AntiVirus 认为这些特洛伊木马文件就是 Trojan.VirtualRoot。该蠕虫会以打包的形式携带此文件并在放入此文件时解包。
　　感染持续 24 或 48 小时，然后重新启动计算机。不过，如果没有安装 Microsoft 最新的修补程序，同一台计算机可能被再次感染。如果月份是 10 月或超过 10 月，或年份大于 34951 年，也将重新启动计算机。当计算机重新启动时，Trojan.VirtualRoot 在系统试图执行 Explorer.exe 时执行（根据 Windows NT 执行程序时解析或搜索程序路径的方式）。该特洛伊木马 (C:\Explorer.exe) 将睡眠几分钟，然后重新设置注册表键以确保其已被更改。
　　注意：重启后，内存驻留的蠕虫将处于不活动状态；即在已重启的受感染系统上，该蠕虫将不尝试将其自身传播到其他计算机，除非碰巧该计算机受到再次感染。
　　该特洛伊木马还会修改注册表键：
　　HKEY_LOCAL_MACHINE\Software\Microsoft\
　　Windows NT\CurrentVersion\Winlogon
　　将值 SFCDisable
　　设置为 0xFFFFFF9D
　　这会禁用系统文件检查程序 (SFC)。
　　注意：
　　* 如果运行 Microsoft FrontPage 或此类用于设计网页的程序，计算机上可能会安装 IIS。
　　* 有关添加到 IIS 日志文件的字符串等其他信息，请访问 CERT Coordination Center 页：http://www.cert.org/incident_notes/IN-2001-08.html。
　　Symantec ManHunt
　　Symantec Manhunt 2.2 使用其 Anomaly Engine 将 CodeRed.F 检测为“HTTP Malformed URL”，如果应用了最新的特征更新，在混合模式下会将其检测为“HTTP_IIS_ISAPI_Extension”。
　　建议
　　赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：
　　* 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。
　　* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。
　　* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。
　　* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。
　　* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。
　　* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
　　* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。
　　Symantec 安全响应中心已经创建了一套工具以对计算机进行防漏洞性评估，该工具还可以杀除 CodeRed 蠕虫和 CodeRed II。要想获得该 CodeRed 杀毒工具，请单击此处。如果因为某种原因而无法获得或使用 CodeRed 杀毒工具，就必须手动杀除该蠕虫。
　　手动杀毒
　　要手动杀除该蠕虫，必须应用必需的 Microsoft 修补程序、删除文件、进行其他几处更改，然后编辑注册表。按照所有指导依次执行。
　　获得修补程序
　　重要：请不要跳过此步骤。
　　可从 http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 下载、获得和应用该修补程序。
　　或者，可以下载并安装 IIS 的累计修补程序，可在 http://www.microsoft.com/technet/security/bulletin/MS01-044.asp 找到。
　　删除蠕虫文件
　　1. 终止与所放置的特洛伊木马（NAV 将其检测为 Trojan.VirtualRoot）相关的当前进程：
　　1. 按 Ctrl+Alt+Delete，并单击“任务管理器”。
　　2. 单击“进程”选项卡。
　　3. 单击“映像名称”列标题，按字母顺序对进程排序。您会发现有两个名为 Explorer.exe 的进程，一个是正常的进程，另一个就是特洛伊木马。
　　4. 要确保终止正确的进程，请单击“查看”，然后单击“选择列…”。
　　5. 选中“线程计数”框，然后单击“确定”。
　　6. 此时，任务管理器中就会出现一个新列，列出与每个进程相关的当前线程数量。（可能需要滚动到右侧才能看见。）
　　7. 在两个 Explorer.exe 进程中，单击只有一个线程的进程。
　　8. 选中后，单击“结束进程”。（出现警告消息。）
　　9. 单击“是”终止该进程。
　　10. 单击“文件”，然后单击“退出任务管理器”。
　　2. 然后，删除在受感染系统上创建的 Explorer.exe 文件。这些文件具有隐藏、系统和只读属性。
　　1. 单击“开始”，然后单击“运行”。
　　2. 键入 cmd，然后按 Enter 键。
　　3. 键入下列命令：
　　cd c:\
　　attrib -h -s -r explorer.exe
　　del explorer.exe
　　键入每个命令后按 Enter 键。
　　4. 这会更改到根目录、删除属性并从驱动器 C 删除该特洛伊木马。
　　Type d:
　　5. 然后按 Enter 键。
　　这将更改到驱动器 D（如果存在）。（如果没有驱动器 D，则跳到步骤 f。）
　　键入下列命令：
　　cd d:\
　　attrib -h -s -r explorer.exe
　　del explorer.exe
　　键入每个命令后按 Enter 键。
　　6. 键入 exit，然后按 Enter 键。
　　3. 使用 Windows 资源管理器删除以下四个文件（如果存在），它们是 %Windir%\root.exe 文件的副本：
　　* C:\Inetpub\Scripts\Root.exe
　　* D:\Inetpub\Scripts\Root.exe
　　* C:\Progra~1\Common~1\System\MSADC\Root.exe
　　* D:\Progra~1\Common~1\System\MSADC\Root.exe
　　4. 打开“计算机管理器”，删除 Web 服务器上打开的共享。要执行该操作，请用鼠标右键单击桌面上的“我的电脑”图标，然后选择“管理”。
　　（出现“计算机管理”窗口。）
　　5. 在左窗格中，导航到 \计算机管理（本地）\服务和应用程序\默认 Web 站点。
　　6. 在右窗格中，用鼠标右键单击驱动器 C 图标，然后单击“删除”。对“默认 Web 站点”下所列出的其他所有驱动器重复该操作。
　　7. 请继续下一部分。
　　编辑注册表
　　警告：强烈建议您在对系统注册表进行任何更改之前先将其备份。错误地更改注册表可能会导致数据永久丢失或文件损坏。应只修改指定的键。继续操作之前，请参阅文档“如何备份 Windows 注册表”。
　　1. 单击“开始”，然后单击“运行”。（将出现“运行”对话框。）
　　2. 键入 regedit，然后单击“确定”。（将打开注册表编辑器。）
　　3. 导航至以下键：
　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
　　在右窗格中，会看见几个值，其中两个是 CodeRed II 所创建的，可以进行删除。更改其他值。
　　4. 选择值：/C
　　按 Delete 键，然后单击“是”确认。
　　5. 选择值：/D
　　6. 按 Delete 键，然后单击“是”确认。
　　7. 双击值：/MSADC
　　8. 从当前值数据中仅删除数字“217”并替换为数字“201”，然后单击“确定”。
　　9. 双击值：/Scripts
　　10. 从当前值数据中仅删除数字“217”并替换为数字“201”，然后单击“确定”。
　　注意：CodeRed 杀毒工具会从注册表完全删除 /MSADC 和 /Scripts 项。使用该工具后，会在重新启动 IIS 时使用正确的值重新创建这些项。
　　11. 执行下列操作之一：
　　* 如果不是 Windows 2000 系统，则跳到步骤 16。
　　* 如果是 Windows 2000 系统，则跳到步骤 13。
　　12. 导航至以下键：
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
　　13. 在右窗格中，双击值：SFCDisable
　　14. 删除当前的值数据，然后键入 0（这是数字零，不是字母“O”）。单击“确定”。
　　15. 退出注册表编辑器。
　　16. 重新启动系统以确保 CodeRed II 已被正确杀除。