信息安全(紅色代碼)

信息安全之病毒

——紅色代碼成員:138葉海峰1300002032138張華1300002014常見病毒

——科普篇黑狐木馬、以及它的變種“肥兔”、鬼影、WindowsNT蠕蟲Stuxnet蠕蟲、Melissa病毒、Lichen病毒、LSD病毒、TECHNO病毒紅色代碼

——名稱由來紅色病毒首先被eEyeDigitalSecurity公司的雇員MarcMaiffret和RyanPermeh發(fā)現(xiàn)并研究。他們將其命名為“CodeRed”，因為他們當(dāng)時在喝CodeRedMountainDew紅色代碼

——介紹篇網(wǎng)絡(luò)蠕蟲病毒MicrosoftIIS

Web服務(wù)器的計算機將網(wǎng)絡(luò)蠕蟲、計算機病毒、木馬程序合為一體劃時代的病毒稍加改造，將是非常致命的病毒取得所攻破計算機的所有權(quán)限紅色代碼

——病毒原理緩存區(qū)溢出"的黑客技術(shù)利用HTTP協(xié)議造成該系統(tǒng)緩存區(qū)溢出超級用戶權(quán)限繼續(xù)使用HTTP向該系統(tǒng)送出ROOT.EXE木馬程序駐留系統(tǒng)內(nèi)存繼續(xù)感染其他IIS系統(tǒng)總是在亂碼前加上一個后綴為.id在該系統(tǒng)運行a的文件名，表示它正在請求該文件，這是紅色代碼的重要特征在該系統(tǒng)運行紅色代碼

——運行過程設(shè)置運行環(huán)境不進一步傳染其他主機傳染其他主機篡改主頁產(chǎn)生對電腦的白宮的拒絕服務(wù)攻擊C:\notworm文件ifelse存在紅色代碼

——破壞力蠕蟲病毒的活動一般與時間相關(guān)，根據(jù)系統(tǒng)時間不同會采取不同的活動：1-19天通過查找網(wǎng)絡(luò)上更多地IIS服務(wù)器嘗試自我傳播。20-27天對幾個固定的IP地址發(fā)動拒絕服務(wù)攻擊，包括白宮的IP地址。28天到月末休眠，沒有攻擊活動。紅色代碼

——判別方法2、檢查端口3、檢查文件1、檢查服務(wù)器日志在1025以上端口出現(xiàn)很多SYNSENT連接請求，或者1025號以上的大量端口處于listening狀態(tài)檢查web服務(wù)器的日志文件，如果出現(xiàn)下面的字符串GET/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN如果在以下目錄中存在Root.exe文件,則說明已經(jīng)感染紅色代碼病毒：C:/inetpub/scripts/Root.exeD:/inetpub/scripts/Root.exeC:/programFiles/commonfile/system/MSADC/Root.exeD:/programFiles/commonfile/system/MSADC/Root.exeC:/explorer.exeD:/explorer.exe紅色代碼

——清除方法(1)結(jié)束進程explorer.exe(2)刪除上節(jié)“檢查文件”中列出的文件(3)打開“計算機管理”、"服務(wù)和應(yīng)用程序"、"默認(rèn)應(yīng)用程序"，默認(rèn)web站點，刪除其中的C和D的共享。(4)修改如下注冊表鍵值(5)更新最新的操作系統(tǒng)補丁。重啟計算機即可。紅色代碼

——病毒變種紅色代碼II紅色代碼II病毒不同于以往的文件型病毒和引導(dǎo)型病毒紅色代碼III紅色代碼三代病毒允許