"红色代码2"病毒的特征、危害(1)

　　
　　 人民网北京8月9日讯 来自国家计算机病毒应急处理中心成员单位、著名反病毒厂家北京江民公司的最新消息称，一种专门攻击WINDOWS NT4.0以及WINDOWS 2000系统的恶性网络蠕虫VirtualRoot（虚拟目录）病毒已经开始在我国部分用户中流行。在接到数十个告急电话后，江民公司立即将该病毒上报"国家计算机病毒应急中心"并经该中心向全国公告。权威反病毒专家王江民警告说，该病毒初步确定是国外最著名的病毒编写组织"29A"编写的，它会使中文的系统休眠，该病毒也称为"CodeRedII（红色代码2）"病毒，与早先在西方英文系统下流行"红色代码"病毒有点相反，该病毒在国际上被称为VirtualRoot（虚拟目录）病毒。王江民告诫广大互联网用户，请抓紧升级最新版反病毒软件KV3000，并开启KVW3000病毒实时监测防火墙，可有效的防范该病毒的侵犯。

　　 附该病毒的特征、危害及清除方案：

　　 （1）该病毒可以感染的操作系统：

　　 WINDOWS NT4.0 ，而且必须带有IIS4.0或者5.0，IIS是Internet 信息发布服务器的缩写。WINDOWS 2000 ，系统中也必须有IIS4.0或者5.0。

　　 检查系统是否安装有IIS的方法是检查运行在NT/2000系统的进程中是否含有inetinfo.exe的程序在运行。不是运行WINDOWS NT4.0以及WINDOWS 2000的服务器不受感染。

　　 （2）该病毒的危害：

　　 该蠕虫病毒利用MICROSOFT已知的溢出漏洞，通过80端口来传播到其它的WEB页服务器上。如果感染成功的话，该蠕虫病毒可以获得受感染WEB服务器的超级用户的完全权限。当然它是通过在受感染的机器上安装一个后门程序，远程的发出指令端是通过该后门程序来控制受感染的机器的。

　　 （3）该病毒的特点：

　　 由于MICROSOFT的IDQ.DLL文件存在漏洞，如果您安装的系统没有安装微软的最新的安全漏洞的补丁的话，该病毒程序就可以通过该漏洞来感染安装了IIS服务的机器。当服务器被感染了以后，该蠕虫病毒首先调用初始化程序确定内核程序KERNEL32.DLL中的IIS服务器的基地址，然后寻找函数GetProcAddress获取进程地址的开始地址，并通过该函数获得别的一系列的API的函数地址。

　　 该网络蠕虫的主线程检查2个不同的标记：第一个标记是29A（29A是国外最著名的病毒编写组织的代号），该标记控制该网络蠕虫程序的安装；

　　 第二个是检查是否有‘CodeRedII（红色代码2）‘，如果存在的话，该网络蠕虫程序进入无限的休眠状态。

|下一页||尾　页|