“红色代码2”拥有极强的可扩充性,通 过程序自行完成的木马植入工作,使得 病毒作者可以通过改进此程序来达到不 同的破坏目的。 当机器日期大于2002年10月时,病毒将 强行重起计算机
“红色代码 2”拥有极强的可扩充性,通 过程序自行完成的木马植入工作,使得 病毒作者可以通过改进此程序来达到不 同的破坏目的。 当机器日期大于2002 年10月时,病毒将 强行重起计算机
“红色代码2”病毒具有四部分:初始化,感 染,繁殖,安装木马。 1初始化 当Web服务器感染“红色代码”病毒后,将首 先进行初始化: 先确定 Kernel132d动态连接库中s服务器 的服务进程地址,查找调用AP函数 GetProcAddress以便调用自己的AP函数 然后加载WS232d库使用 socke函数,这 些函数是用来网络通信的。 从user32D中调用 ExitwindowsEx以重新启 动系统
“红色代码 2” 病毒具有四部分:初始化,感 染,繁殖,安装木马。 1.初始化 当web服务器感染“红色代码”病毒后,将首 先进行初始化: 先确定Kernel 132.dll动态连接库中IIS服务器 的服务进程地址,查找调用 API 函 数 GetProcAddress以便调用自己的API函数 然后加载WS2_32.dll库使用socket函数,这 些函数是用来网络通信的。 从user32.Dll中调用ExitWindowsEx以重新启 动系统
2感染 首先通过设置跳转表“ Jump table”,以便得 到所有需要的函数地址 获得当前的P地址,以便在后面的繁殖时处理 子网掩码时使用。 检查系统使用语言,中文,简体或繁体 检查是否有病毒标志“ Codered,如有则 停止,否则增加感染标志 莘委篆復劈数目土缦癃费留建矍如 为600 创建新的线程跳到第1步 调用木马功能 非中文系统,休眠1天,否则休眠2天 重启系统,清除内存病毒,留下后门和木马
2.感染 首先通过设置跳转表“Jump table”,以便得 到所有需要的函数地址。 获得当前的IP地址,以便在后面的繁殖时处理 子网掩码时使用。 检查系统使用语言,中文,简体或繁体 检查是否有病毒标志“CodeRed II”,如有则 停止,否则增加感染标志。 调整系统工作线程数目,以便病毒创建线程, 非中文系统设置为300工作线程数目,中文则 为600 。 创建新的线程跳到第 1 步 调用木马功能 非中文系统,休眠 1天,否则休眠 2 天 重启系统,清除内存病毒,留下后门和木马
3繁殖 获取本地系统时间,如果时间小于2002年或月 份小于10月,若超出上述范围则重启系统 调用 socket函数,产生套接字,并设置该套 接字为非阻塞模式,以加速连接速度 产生下一个要攻击主机的P地址并发起连接 如果连接成功,则修改套接字为阻塞模式,调 用 select()查询套接字状态,如果没有返回句 柄,则关闭套接字,跳到第1步;如果返回句 柄,则调用 sendo向该套接字发病毒拷贝,执 行recv0调用,关闭套接字,返回第1步
3.繁殖 获取本地系统时间,如果时间小于2002年或月 份小于10月,若超出上述范围则重启系统 调用 socket函数,产生套接字,并设置该套 接字为非阻塞模式,以加速连接速度 产生下一个要攻击主机的IP地址并发起连接 如果连接成功,则修改套接字为阻塞模式,调 用select()查询套接字状态,如果没有返回句 柄,则关闭套接字,跳到第1步;如果返回句 柄,则调用send()向该套接字发病毒拷贝,执 行recv()调用,关闭套接字,返回第1步
4安装木马 调用获取系统目录的函数 将 cmdexe加到系统目录字符串末尾,将 cmd. exe 制 到 C:lprogra-lIcommon-1 systemIMSADCIro ot exe 创建文件 C: explore. exe,并写入木马二进制代 码。 木马程序 explore. exe 设置了一个循环,以实 现对注册表的修改,增加两个虚拟Web目录并 分别映射到c:和D,从而留下了后门。因为 只要木马在运行,即使删除了 root. exe,攻击 者仍然可以利用虚拟目录远程访问感染病毒的 主机系统
4.安装木马 调用获取系统目录的函数 将 cmd.exe 加到系统目录字符串末尾,将 cmd.exe 复制到 C:\progra~1\common~1\system\MSADC\ro ot.exe 创建文件C:\explore.exe,并写入木马二进制代 码。 木马程序explore.exe设置了一个循环,以实 现对注册表的修改,增加两个虚拟web目录并 分别映射到C:\ 和D:\,从而留下了后门。因为 只要木马在运行,即使删除了root.exe,攻击 者仍然可以利用虚拟目录远程访问感染病毒的 主机系统