網絡安全專家稱：紅色代碼Ⅱ可能大爆發

　　“我的電腦安全嗎？這是不是一個‘黑色星期一’？”這可能是今天一上班，許多電腦用戶和網站擔心和議論的話題。廣東省公安廳公共信息網絡安全監察處昨日發出警告說，紅色代碼Ⅱ病毒日前在廣東潛伏，已構成重大威脅。有國內網絡安全專家也表示，由紅色代碼Ⅱ引發的“毒災”可能在今天大爆發，並會危及個人電腦。

　　該病毒與日期無關

　　據廣東省公安廳公共信息網絡安全監察處人士介紹說，近期紅色代碼的肆虐已使省內一些單位、部門的計算機系統感染了該病毒，正常工作受到嚴重影響。他解釋，此次紅色代碼病毒和日期沒有多大關係，但經過週六、週日兩天休息，星期一上班後，大量聯網電腦開機，新一輪病毒感染就極有可能爆發。

　　而廣州南易科技有限公司的ＩＣＳＡ認證專家（國際計算機安全協會認證專家）萬濤在接受記者採訪時表示，紅色代碼沒有所謂的特定發作時間，其核心技術在於利用微軟的最新漏洞，然後製造ＤＤＯＳ攻擊，使被攻擊目標短時間承受過量的負荷而癱瘓。不存在特定的所謂時間發作。只是從近期紅色代碼的變種開始攻擊中文操作系統的現象來看，國內使用微軟操作系統的用戶存在很大的安全隱患和風險。南易公司的服務器上週就受到了攻擊，但由於防衛在先，而且採用實時監控的模式，所以沒有受影響。

　　網站隱瞞毒情不利御毒

　　據瞭解，包括網站在內的單位在遭遇病毒攻擊後多不願透露詳情。這事實上爲有關部門真實瞭解疫情、制訂應對措施帶來了麻煩。目前所知，遭受紅色代碼Ⅱ攻擊的絕大多數爲網絡用戶，波及北京、天津、上海、重慶、廣東等十幾個省及直轄市，涉及計算機信息、金融證券、教育科研等多種行業以及企事業單位、政府機構。截至８月９日１７時，國家計算機病毒應急處理中心統計，國內遭受紅色代碼Ⅱ攻擊的用戶共１８０餘家，被感染的服務器超過２００臺，該結果是彙總國內外１０餘家殺毒軟件生產廠家的統計而得出的。另據“瑞星”的統計顯示，此病毒集中發作於計算機信息行業和網站，約佔７０％至８０％；北京地區“災情”嚴重，佔到了八成。

　　許多用戶在給國家有關部門的電話諮詢中拒絕透露單位名稱，從而導致已掌握“解毒”方法的“醫生”根本找不到病人，也就無法醫治。正因爲如此，由紅色代碼Ⅱ引發的“毒災”不但沒有收斂之勢，反而越發囂張。有安全專家稱，由於目前尚無法預測紅色代碼病毒消失的時間，因此在未來一段時間之內，它仍將是互聯網上的一大“毒瘤”。

　　目前，國內幾家知名殺毒軟件公司都在緊張地進行殺毒軟件的升級處理。據悉，包括金山、ＫＩＬＬ、ＫＶ３０００、瑞星在內的殺毒軟件都能有效地查殺紅色代碼病毒。金山公司同時還開發了一個供自由下載的專殺紅色代碼的小工具，供用戶免費下載使用。

　　紅色代碼來自廣東？

　　由於紅色代碼的第一個版本在被黑頁面和攻擊對象（美國白宮）上顯示和中國有關，另外儘管被這種蠕蟲病毒攻擊的網站都會顯示“ＨａｃｋｅｄｂｙＣｈｉｎｅｓｅ”的字樣，但都不能確定紅色代碼來自中國。國內一些防毒專家也否認了這個說法。對於來源的說法，尤其是來自廣東的說法，包括萬濤在內的國內安全專家也正在通過自己的渠道進行了解。但他表示，國內能寫這種病毒的人，在他們所認識的朋友中非常少。他們也已在線上交流過，但還沒有任何跡象顯示病毒來自廣東。

　　小資料：“紅色代碼Ⅱ”病毒

　　“紅色代碼ＩＩ”病毒是近日美國呼籲全球防範的“紅色代碼（ｃｏｄｅ－ｒｅｄ）”病毒的變種。它主要攻擊：１、裝Ｉｎｄｅｘｉｎｇｓｅｒｖｉｃｅｓ和ＩＩＳ４．０或ＩＩＳ５．０的Ｗｉｎｄｏｗｓ２０００／ｘｐ系統；２、裝Ｉｎｄｅｘｉｎｇｓｅｒｖｉｃｅｓ２．０和ＩＩＳ４．０或ＩＩＳ５．０的ＷｉｎｄｏｗｓＮＴ４．０系統。該病毒通過網絡傳播，使ＷｉｎｄｏｗｓＮＴ／２０００／ｘｐ服務器遭受感染，利用ＩＩＳ的緩衝區溢出漏洞，經ＴＣＰ的８０端口傳播，並造成局部網絡阻塞，該病毒變種在感染系統後會釋放出黑客程序，它比“紅色代碼”病毒具有更強的破壞性。

　　判斷病毒感染方法

　　１、在ＷＩＮＮＴ＼ＳＹＳＴＥＭ３２＼ＬＯＧＦＩＬＥＳ＼Ｗ３ＳＶＣ１目錄下的日誌文件中是否含有以下內容：“ＧＥＴ／ｄｅｆａｕｌｔ．ｉｄａ，

　　ｘｘｘｘｘｘｘ％　ｕ９０９０％　ｕ６８５８％　ｕｃｂｄ３％　ｕ７８０１％　ｕ９０９０％％　ｕ６８５８％　ｕｃｂｄ３％　ｕ７８０１％　ｕ９０９０％％　ｕ６８５８％　ｕｃｂｄ３％　ｕ７８０１％　ｕ９０９０％　ｕ９０９０％　ｕ８１９０％　ｕ００ｃ３％　ｕ８ｂ００％　ｕ５３１ｂ％　ｕ５３ｆｆ％　ｕ００７８％　ｕ００００％　ｕ００＝ａ，”

　　２、使用命令ｎｅｔｓｔａｔ－ａ如果在１０２５以上端口出現很多ＳＹＮ－ＳＥＮＴ連結請求，或者１０２５號以上的大量端口處於Ｌｉｓｔｅｎｉｎｇ狀態。

　　３、如果在以下目錄中存在Ｒｏｏｔ．ｅｘｅ文件。

　　Ｃ：＼ｉｎｅｔｐｕｂ＼ｓｃｒｉｐｔｓ＼ｒｏｏｔ．ｅｘｅ

　　Ｄ：＼ｉｎｅｔｐｕｂ＼ｓｃｒｉｐｔｓ＼ｒｏｏｔ．ｅｘｅ

　　Ｃ：＼ｐｒｏｇｒａｍｆｉｌｅｓ＼ｃｏｍｍｏｎｆｉｌｅｓ＼ｓｙｓｔｅｍ＼ｍｓａｄｃ＼ｒｏｏｔ．ｅｘｅ

　　Ｄ：＼ｐｒｏｇｒａｍｆｉｌｅｓ＼ｃｏｍｍｏｎｆｉｌｅｓ＼ｓｙｓｔｅｍ＼ｍｓａｄｃ＼ｒｏｏｔ．ｅｘｅ

　　同時，紅色代碼ＩＩ還會釋放出兩個文件“Ｃ：＼ｅｘｐｌｏｒｅｒ．ｅｘｅ”或“Ｄ：＼ｅｘｐｌｏｒｅｒ．ｅｘｅ”。這兩個文件都是木馬程序。

　　４、ＮＴ服務器中的ｗｅｂ服務和ＦＴＰ服務會異常中止。

　　解決病毒感染方法

　　１、到微軟站點下載補丁程序（ｈｔｔｐ：／／ｗｗｗ．ｍｉｃｒｏｓｏｆｔ．ｃｏｍ／ｔｅｃｈｎｅｔ／ｓｅｃｕｒｉｔｙ／ｂｕｌｌｅｔｉｎ／ＭＳ０１－０３３．ａｓｐ）：

　　２、斷掉網絡重新啓動系統，防止病毒通過網絡再次感染。

　　３、安裝微軟補丁程序。４、刪除以下病毒釋放的木馬程序Ｃ：＼ｉｎｅｔｐｕｂ＼ｓｃｒｉｐｔｓ＼ｒｏｏｔ．ｅｘｅＤ：＼ｉｎｅｔｐｕｂ＼ｓｃｒｉｐｔｓ＼ｒｏｏｔ．ｅｘｅＣ：＼ｐｒｏｇｒａｍｆｉｌｅｓ＼ｃｏｍｍｏｎｆｉｌｅｓ＼ｓｙｓｔｅｍ＼ｍｓａｄｃ＼ｒｏｏｔ．ｅｘｅＤ：＼ｐｒｏｇｒａｍｆｉｌｅｓ＼ｃｏｍｍｏｎｆｉｌｅｓ＼ｓｙｓｔｅｍ＼ｍｓａｄｃ＼ｒｏｏｔ．ｅｘｅ

　　使用以下命令刪除以下文件：

　　ＡＴＴＲＩＢＣ：＼ＥＸＰＬＯＲＥＲ．ＥＸＥ－Ｈ－Ａ－ＲＤＥＬＣ：＼ＥＸＰＬＯＲＥＲ．ＥＸＥＡＴＴＲＩＢＤ：＼ＥＸＰＬＯＲＥＲ．ＥＸＥ－Ｈ－Ａ－ＲＤＥＬＤ：＼ＥＸＰＬＯＲＥＲ．ＥＸＥ

　　５、將註冊表的以下鍵值改爲

　　０ＨＫＥＹ＿ＬＯＣＡＬ＿ＭＡＣＨＩＮＥ＼ＳＯＦＴＷＡＲＥ＼Ｍｉｃｒｏｓｏｆｔ＼ＷｉｎｄｏｗｓＮＴ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼ＷｉｎＬｏｇｏｎ＼ＳＦＣＤｉａｂｌｅ

　　殺傷力更大 紅色代碼Ⅲ出籠

　　韓國情報通信部於本月１０日表示，危害更嚴重的紅色代碼Ⅲ已經出世。它的傳播速度比前兩個版本更快，危害更嚴重。它會在受感染的電腦上打開一個更大的後洞，使這些電腦更易受黑客攻擊。

　　但是，美國互聯網安全專家卻不同意韓國官員的上述說法，他們認爲這可能只是紅色代碼病毒的再次爆發而已，並不是這種病毒生成的又一種新變種。

　　據悉，目前中國國內尚未出現紅色代碼Ⅲ，但有關專家認爲，我們不能對此掉以輕心。這種變種病毒造成的惡果是，允許黑客擁有遠程訪問Ｗｅｂ服務器的完全權限。（時標　劉奕伶　肖定東　林威揚　郭芹濤）