Virus 版 (精华区)

发信人: seak (江海客), 信区: Virus
标  题: Red Code 2特急警报
发信站: 哈工大紫丁香 (Mon Aug  6 23:31:52 2001) , 转信



Red Code 2特急警报

                 江海客(avbox@china.com)

  自从昨晚到今天凌晨，我根据一些情况紧急贴出了
Red Code的警报后，今天白天(8月6日)发现(特别是
拿到样本并分析后)问题比我昨天想象的严重的多。

    其严重问题包括：

1、当前在国内流行的病毒，虽然传播机理与Red 
Code相同，但是其危害要大的多，关键是所有感
染了该变种蠕虫的机器，都等于被开设了两类及
其危险的后门。应该说，国内目前有大量的NT/
2000服务器，陷于极度危险的境地。千万恳请，
国内有关单位和部门，不要掉以轻心，迅速检查
你们的服务器，否则可能给国家或企业带来重大
损失。

2、传播之广之快令人震惊，今天我们一台安装了
单机IDS Numan NET的拨号节点，在不足10个小时，
的连接时间中，收到了1034个Red Code蠕虫发出的
请求。比昨天晚上继续增加。一些大系统的网络
维护人员反映，有部分网段几乎瘫痪。


3、这个蠕虫从特性上看，有对Red Code的流行对
中国进行报复的嫌疑，如果感染的系统不是中文
平台，则用300个线程继续发出联接请求，如果是
中文平台则用600个线程发出联接请求。因此中国
和周边地区的传播比欧美会大大加快。

4、反病毒企业对该病毒的响应不是很快。由于
Red Code2是没有文件载体的蠕虫，因此多数反病
毒软件只能查出蠕虫拆离出的后门程序，但不能
发现内存中的蠕虫本身。同时，普通用户除了这
个后门程序，根本没有能力提取蠕虫的内存映像
，我估计有部分反病毒企业目前还不明白事情的
所以然。


5、一般用户不知如何修补自己的系统，使之不
被感染。很多用户重装系统后再次遭受感染。


Antiy Labs IDS开发组，紧急写了一个应急的查
杀程序，授权病毒观察站virusview.net在相应
的疫情相应栏目中发布。

  下载地址为：
http://www.virusview.net/download/sptools/other/killrc2.exe
  该程序可以清除当前流行的Red Code2安置在系
统中的木马，并将蠕虫对系统的修改复原，同时在
用户允许的情况下，为用户系统打上非官方补丁。
   用该程序查杀完成后，请用户马上重新启动。

  为了防止不法之徒篡改本程序：
本站发布了利用本站公钥
http://www.virusview.net/virusview.asc
对这个程序的签名
http://www.virusview.net/download/sptools/other/killrc2.exe.sig
如果你对在病毒观察以外的站点下载的killrc2.exe
不放心，可以用pgp验签。
    
   请用户注意：如果发现以下情况，你的机器可能
被该蠕虫或者新的变种感染，需要用killrc2.exe查
杀病毒。
   1、c:\、d:\下出现EXPLORER.EXE文件，大小为8k
左右。
   2、你的IIS的虚拟的具有可执行权限的目录script
、MSADC目录下出现root.exe（实际是cmd.exe的副本）
   3、你的系统无故大量对外发送数据包。

   如果你的系统是NT/2000安装了IIS，没有打过相关
补丁的，可以在IIS WWW服务属性中把 .ida、.idq
映射删除，也可以直接更名%windir%\System32\idq.dll
。如果你不会处理，killrc2.exe在你许可情况下会自动
更名该文件。
   另外，我们发现这个蠕虫修改起来非常容易，可能很快
会产生新变种如果大家遇到新问题，发现木马有新变异，
请mailvirusview@china.com和各大反病毒公司。
   我们已经在virusview.net上提供了关于该病毒的中文资
料，如果有必要，我们还会继续升级killrc2.exe。

   
   特别感谢
   中联绿盟袁哥，由于我今天只拿到了EXPLORER.EXE（
Trojan.Win32.VirtualRoot 样本），只反汇编分析出了开
设后门的过程。但Trojan.Win32.VirtualRoot确实没有传
播能力，因此极度困惑。特别感谢他对问题的说明，和向
我提供eeye的蠕虫反汇编报告。
   9958.com 幼虫，他一直关心此事的进展，并提供了病
毒传播的最新情况。


-------------------------------------------
附:
   
病毒观察PGP PUBLIC KEY


-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: PGPfreeware 7.0.3 for non-commercial use <http://www.pgp.com>

mQGiBDtukUERBADRSb62vYTr6UhdLimoITRRormjEz0t6+0ECTZnpA9pE4Wzdqm8
KiuDfYwzBBviK/05Zz4+Vj2cdVkfvmcSLZjAaWC6DmHJJGZzszrdR/TEGnwM7xiZ
KJ7WBDSsUxPYEAe9q4xOcn76mnkRK0ayzYHf1cLwj+ZkUBG5ZjFeVp1AqwCg/+mz
a57tSsheFpVpHzN4VFqgiGED/RyR1PRhCvMAD+7njroTjFKAZ5X2l/3uh0CPYAyh
5QpgbWnkuOg2NHjZFLJSvbQNsJOybOVyGLVWpmX+I8GfIa4P+kpXwvSii/jY2dzT
/LeY012zWBnLE74TdABvc0FUR1HgAil3870ykTfZ5/qHbJ2byEN8+BgaeBt+kb2s
Es2PA/oCre1SL9UiqYUGHwbuPlcxg+Dgj5dw88uQy7W6nDUvagAminL7jyeBHM5x
ojg6zr0gJ1BN7z8jjDUOLJKU2BNo+21J8Xf4KvLn31ccIC35efwHltI3FDBEuf7y
owjGbhd4fEZmMkp7R3RgJLOtff/m+OX4H6PXArvUTrLILTbUrrQedmlydXN2aWV3
IDxhdmVyQHZpcnVzdmlldy5uZXQ+iQBYBBARAgAYBQI7bpFBCAsDCQgHAgEKAhkB
BRsDAAAAAAoJENsy/4fQ4CI6r1kAoK4p+CNrkwyMAqgY/nfTyFxa9FPbAKDWqqoW
GTixEj6a3Ik8SzFoZVjYkrkCDQQ7bpFBEAgA9kJXtwh/CBdyorrWqULzBej5UxE5
T7bxbrlLOCDaAadWoxTpj0BV89AHxstDqZSt90xkhkn4DIO9ZekX1KHTUPj1WV/c
dlJPPT2N286Z4VeSWc39uK50T8X8dryDxUcwYc58yWb/Ffm7/ZFexwGq01uejaCl
cjrUGvC/RgBYK+X0iP1YTknbzSC0neSRBzZrM2w4DUUdD3yIsxx8Wy2O9vPJI8BD
8KVbGI2Ou1WMuF040zT9fBdXQ6MdGGzeMyEstSr/POGxKUAYEY18hKcKctaGxAMZ
yAcpesqVDNmWn6vQClCbAkbTCD1mpF1Bn5x8vYlLIhkmuquiXsNV6TILOwACAgf/
YvM9f88wWJKzuwv6PMtVyup0wz4vOEq5hcsMtqdRUAGvK9sFeWSN0IJBE41WXZVk
akc35M26vc1YFAttmayeQIHhWmq474qZK1nQX3tQNFxGqK4zo8kf/6+1xh38Ppo/
7/kKqFaRKKJryec9bXVM8IHMXtL3skQKSsHOZGYoYAkauvCibxVXNI2sTsNj2d6M
SF6IpqIC6cpFdZOS2IbMIPUiABbteoQBY1aVFU8jw+N8x/irMOM4Gl8Q1+I3rr07
rhqgFZ/BV51swzNnq2uQPUE+ZGzMIrcHCz1VGXNoKB95viH5a3GIUEYwD3H65WEa
2yemFGiQIjk5qUluHjCWFIkATAQYEQIADAUCO26RQQUbDAAAAAAKCRDbMv+H0OAi
OmcHAKD7mTw+c50RvrVF9N7w3L7YCDmbQACgrL+a1mlHd/AtbEueUFQF3QOMLjI=
=OSC1
-----END PGP PUBLIC KEY BLOCK-----
   

--

※ 来源:．哈工大紫丁香 http://bbs.hit.edu.cn [FROM: 202.110.140.79]