CODERED.C

编辑:展开网互动百科 时间:2020-01-27 20:55:49
编辑 锁定
本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
电脑病毒名,该病毒利用IIS的缓冲区溢出漏洞,通过TCP的80端口传播,并且该病毒变种在感染系统后会释放出黑客程序。
中文名
CODERED.C
外文名
CODERED.C
类    型
电脑病毒名
传播端口
TCP的80端口
由于Microsoft公司Windows NT和2000中的Index Service服务与其IIS服务间的接口程序-Indexing Service ISAPI中含有一个"缓冲区溢出"漏洞,致使黑客可以向IIS发出一段恶意请求,导致受攻击系统的缓冲区溢出,从而使攻击者获得对系统的完全控制权限。CodeRedII病毒正是利用该系统漏洞来对系统进行攻击。
CODERED.C只能对安装有IIS服务的Windows 2000系统产生长期有效的病毒攻击行为,而对于WindowsNT系统,它将直接导致系统的崩溃。
该蠕虫在系统内存中搜索KERNEL32.DLL 的位置, 然后找到GetProcAddress API。同时它也搜索其它所需使用到的API 或程序。所需的库文件名称为:
WS2_32.DLL - Winsock V 2.0
ADVAPI32.DLL - 用来操纵系统注册表
USER32.DLL - 用来使系统重启和其它的一些功能
接着该蠕虫会将 %windir%\CMD.EXE 文件复制到以下路径:
C:\INETPUB\SCRIPTS\ROOT.EXE
C:\PROGRA~1\COMMON~1\SYSTEM\MSADC\ROOT.EXE
D:\INETPUB\SCRIPTS\ROOT.EXE
D:\PROGRA~1\COMMON~1\SYSTEM\MSADC\ROOT.EXE
然后病毒在根目录下释放一个木马程序 - EXPLORER.EXE 文件(Trend Micro的防毒产品将该文件命名为TROJ_CODERED.C),如C:\EXPLORER.EXE。
木马程序将使攻击者享有对系统的完全控制权限。因为系统将优先执行根目录下的EXPLORER.EXE,而非系统本身的EXPLORER.EXE。
同时该蠕虫会修改注册表内的键值以废除登录时系统的安全保护:
HKLM\Software/Microsoft\Windows NT\
Current Version\WinLogon\SFCDisable
并且创建以下的注册键:
HKLM\SYSTEM\CurrentControlSet\Services\
W3SVC\Parameters\Virtual Roots\
/Scripts = %rootdir%\inetpub\scripts,,204
/MSADC = %rootdir%\program files\common files\system\msadc,,205
/C = C:\,,217
/D = D:\,,217
蠕虫还会检查系统当前的时间,如果发现系统年份大于2002年或是月份大于10月,将强行使系统重新启动。重启后的系统内该蠕虫本身将不再存在,但是其释放的木马程序却一直在运行中。当然,如果系统未安装Microsoft提供的漏洞修补程序,系统随时都会受到又一次的攻击
词条标签:
计算机学 病毒