信息安全(紅色代碼)

信息安全之病毒

——紅色代碼成員:138葉海峰1300002032138張華1300002014常見病毒

——科普篇黑狐木馬、以及它的變種“肥兔”、鬼影、WindowsNT蠕蟲Stuxnet蠕蟲、Melissa病毒、Lichen病毒、LSD病毒、TECHNO病毒紅色代碼

——名稱由來紅色病毒首先被eEyeDigitalSecurity公司的雇員MarcMaiffret和RyanPermeh發(fā)現(xiàn)并研究。他們將其命名為“CodeRed”，因?yàn)樗麄儺?dāng)時(shí)在喝CodeRedMountainDew紅色代碼

——介紹篇網(wǎng)絡(luò)蠕蟲病毒MicrosoftIIS

Web服務(wù)器的計(jì)算機(jī)將網(wǎng)絡(luò)蠕蟲、計(jì)算機(jī)病毒、木馬程序合為一體劃時(shí)代的病毒稍加改造，將是非常致命的病毒取得所攻破計(jì)算機(jī)的所有權(quán)限紅色代碼

——病毒原理緩存區(qū)溢出"的黑客技術(shù)利用HTTP協(xié)議造成該系統(tǒng)緩存區(qū)溢出超級(jí)用戶權(quán)限繼續(xù)使用HTTP向該系統(tǒng)送出ROOT.EXE木馬程序駐留系統(tǒng)內(nèi)存繼續(xù)感染其他IIS系統(tǒng)總是在亂碼前加上一個(gè)后綴為.id在該系統(tǒng)運(yùn)行a的文件名，表示它正在請(qǐng)求該文件，這是紅色代碼的重要特征在該系統(tǒng)運(yùn)行紅色代碼

——運(yùn)行過程設(shè)置運(yùn)行環(huán)境不進(jìn)一步傳染其他主機(jī)傳染其他主機(jī)篡改主頁產(chǎn)生對(duì)電腦的白宮的拒絕服務(wù)攻擊C:\notworm文件ifelse存在紅色代碼

——破壞力蠕蟲病毒的活動(dòng)一般與時(shí)間相關(guān)，根據(jù)系統(tǒng)時(shí)間不同會(huì)采取不同的活動(dòng)：1-19天通過查找網(wǎng)絡(luò)上更多地IIS服務(wù)器嘗試自我傳播。20-27天對(duì)幾個(gè)固定的IP地址發(fā)動(dòng)拒絕服務(wù)攻擊，包括白宮的IP地址。28天到月末休眠，沒有攻擊活動(dòng)。紅色代碼

——判別方法2、檢查端口3、檢查文件1、檢查服務(wù)器日志在1025以上端口出現(xiàn)很多SYNSENT連接請(qǐng)求，或者1025號(hào)以上的大量端口處于listening狀態(tài)檢查web服務(wù)器的日志文件，如果出現(xiàn)下面的字符串GET/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN如果在以下目錄中存在Root.exe文件,則說明已經(jīng)感染紅色代碼病毒：C:/inetpub/scripts/Root.exeD:/inetpub/scripts/Root.exeC:/programFiles/commonfile/system/MSADC/Root.exeD:/programFiles/commonfile/system/MSADC/Root.exeC:/explorer.exeD:/explorer.exe紅色代碼

——清除方法(1)結(jié)束進(jìn)程explorer.exe(2)刪除上節(jié)“檢查文件”中列出的文件(3)打開“計(jì)算機(jī)管理”、"服務(wù)和應(yīng)用程序"、"默認(rèn)應(yīng)用程序"，默認(rèn)web站點(diǎn)，刪除其中的C和D的共享。(4)修改如下注冊(cè)表鍵值(5)更新最新的操作系統(tǒng)補(bǔ)丁。重啟計(jì)算機(jī)即可。紅色代碼

——病毒變種紅色代碼II紅色代碼II病毒不同于以往的文件型病毒和引導(dǎo)型病毒紅色代碼III紅色代碼三代病毒允許