“我的電腦安全嗎?這是不是一個‘黑色星期一’?”這可能是今天一上班,許多電腦用戶和網站擔心和議論的話題。廣東省公安廳公共信息網絡安全監察處昨日發出警告說,紅色代碼Ⅱ病毒日前在廣東潛伏,已構成重大威脅。有國內網絡安全專家也表示,由紅色代碼Ⅱ引發的“毒災”可能在今天大爆發,並會危及個人電腦。
該病毒與日期無關
據廣東省公安廳公共信息網絡安全監察處人士介紹說,近期紅色代碼的肆虐已使省內一些單位、部門的計算機系統感染了該病毒,正常工作受到嚴重影響。他解釋,此次紅色代碼病毒和日期沒有多大關係,但經過週六、週日兩天休息,星期一上班後,大量聯網電腦開機,新一輪病毒感染就極有可能爆發。
而廣州南易科技有限公司的ICSA認證專家(國際計算機安全協會認證專家)萬濤在接受記者採訪時表示,紅色代碼沒有所謂的特定發作時間,其核心技術在於利用微軟的最新漏洞,然後製造DDOS攻擊,使被攻擊目標短時間承受過量的負荷而癱瘓。不存在特定的所謂時間發作。只是從近期紅色代碼的變種開始攻擊中文操作系統的現象來看,國內使用微軟操作系統的用戶存在很大的安全隱患和風險。南易公司的服務器上週就受到了攻擊,但由於防衛在先,而且採用實時監控的模式,所以沒有受影響。
網站隱瞞毒情不利御毒
據瞭解,包括網站在內的單位在遭遇病毒攻擊後多不願透露詳情。這事實上爲有關部門真實瞭解疫情、制訂應對措施帶來了麻煩。目前所知,遭受紅色代碼Ⅱ攻擊的絕大多數爲網絡用戶,波及北京、天津、上海、重慶、廣東等十幾個省及直轄市,涉及計算機信息、金融證券、教育科研等多種行業以及企事業單位、政府機構。截至8月9日17時,國家計算機病毒應急處理中心統計,國內遭受紅色代碼Ⅱ攻擊的用戶共180餘家,被感染的服務器超過200臺,該結果是彙總國內外10餘家殺毒軟件生產廠家的統計而得出的。另據“瑞星”的統計顯示,此病毒集中發作於計算機信息行業和網站,約佔70%至80%;北京地區“災情”嚴重,佔到了八成。
許多用戶在給國家有關部門的電話諮詢中拒絕透露單位名稱,從而導致已掌握“解毒”方法的“醫生”根本找不到病人,也就無法醫治。正因爲如此,由紅色代碼Ⅱ引發的“毒災”不但沒有收斂之勢,反而越發囂張。有安全專家稱,由於目前尚無法預測紅色代碼病毒消失的時間,因此在未來一段時間之內,它仍將是互聯網上的一大“毒瘤”。
目前,國內幾家知名殺毒軟件公司都在緊張地進行殺毒軟件的升級處理。據悉,包括金山、KILL、KV3000、瑞星在內的殺毒軟件都能有效地查殺紅色代碼病毒。金山公司同時還開發了一個供自由下載的專殺紅色代碼的小工具,供用戶免費下載使用。
紅色代碼來自廣東?
由於紅色代碼的第一個版本在被黑頁面和攻擊對象(美國白宮)上顯示和中國有關,另外儘管被這種蠕蟲病毒攻擊的網站都會顯示“HackedbyChinese”的字樣,但都不能確定紅色代碼來自中國。國內一些防毒專家也否認了這個說法。對於來源的說法,尤其是來自廣東的說法,包括萬濤在內的國內安全專家也正在通過自己的渠道進行了解。但他表示,國內能寫這種病毒的人,在他們所認識的朋友中非常少。他們也已在線上交流過,但還沒有任何跡象顯示病毒來自廣東。
小資料:“紅色代碼Ⅱ”病毒
“紅色代碼II”病毒是近日美國呼籲全球防範的“紅色代碼(code-red)”病毒的變種。它主要攻擊:1、裝Indexingservices和IIS4.0或IIS5.0的Windows2000/xp系統;2、裝Indexingservices2.0和IIS4.0或IIS5.0的WindowsNT4.0系統。該病毒通過網絡傳播,使WindowsNT/2000/xp服務器遭受感染,利用IIS的緩衝區溢出漏洞,經TCP的80端口傳播,並造成局部網絡阻塞,該病毒變種在感染系統後會釋放出黑客程序,它比“紅色代碼”病毒具有更強的破壞性。
判斷病毒感染方法
1、在WINNT\SYSTEM32\LOGFILES\W3SVC1目錄下的日誌文件中是否含有以下內容:“GET/default.ida,
xxxxxxx% u9090% u6858% ucbd3% u7801% u9090%% u6858% ucbd3% u7801% u9090%% u6858% ucbd3% u7801% u9090% u9090% u8190% u00c3% u8b00% u531b% u53ff% u0078% u0000% u00=a,”
2、使用命令netstat-a如果在1025以上端口出現很多SYN-SENT連結請求,或者1025號以上的大量端口處於Listening狀態。
3、如果在以下目錄中存在Root.exe文件。
C:\inetpub\scripts\root.exe
D:\inetpub\scripts\root.exe
C:\programfiles\commonfiles\system\msadc\root.exe
D:\programfiles\commonfiles\system\msadc\root.exe
同時,紅色代碼II還會釋放出兩個文件“C:\explorer.exe”或“D:\explorer.exe”。這兩個文件都是木馬程序。
4、NT服務器中的web服務和FTP服務會異常中止。
解決病毒感染方法
1、到微軟站點下載補丁程序(http://www.microsoft.com/technet/security/bulletin/MS01-033.asp):
2、斷掉網絡重新啓動系統,防止病毒通過網絡再次感染。
3、安裝微軟補丁程序。4、刪除以下病毒釋放的木馬程序C:\inetpub\scripts\root.exeD:\inetpub\scripts\root.exeC:\programfiles\commonfiles\system\msadc\root.exeD:\programfiles\commonfiles\system\msadc\root.exe
使用以下命令刪除以下文件:
ATTRIBC:\EXPLORER.EXE-H-A-RDELC:\EXPLORER.EXEATTRIBD:\EXPLORER.EXE-H-A-RDELD:\EXPLORER.EXE
5、將註冊表的以下鍵值改爲
0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon\SFCDiable
殺傷力更大 紅色代碼Ⅲ出籠
韓國情報通信部於本月10日表示,危害更嚴重的紅色代碼Ⅲ已經出世。它的傳播速度比前兩個版本更快,危害更嚴重。它會在受感染的電腦上打開一個更大的後洞,使這些電腦更易受黑客攻擊。
但是,美國互聯網安全專家卻不同意韓國官員的上述說法,他們認爲這可能只是紅色代碼病毒的再次爆發而已,並不是這種病毒生成的又一種新變種。
據悉,目前中國國內尚未出現紅色代碼Ⅲ,但有關專家認爲,我們不能對此掉以輕心。這種變種病毒造成的惡果是,允許黑客擁有遠程訪問Web服務器的完全權限。(時標 劉奕伶 肖定東 林威揚 郭芹濤)
|