Code Red 病毒已在全球各地造成Windows IIS 用户的严重损失,其极迅速的扩散速度及变种能力令人防不胜防,咨安科技针对 Code Red 特别在所属网站http://www.secureuni.com/提供关于红色警戒的说明文件,在文件中将会详细说明 Code Red 的运作方式,后门清除方式,以及 ISAPI Extension 移除方式,同时也可以找到 BOF 的下载地址。
如何得知系统被有心人士扫描,或有人正意图攻击公司系统,咨安科技提供一个由 NFR Security 设计,可以在Windows 系统使用的一个名为 Back Officer Friendly(BOF) 的免费乔装程序。这是一个原本设计来乔装对付 Back Officer木马程序的小程序,他除了伪装对 BO Client 做出反应之外,也会监督外界对此系统的 Port Scanning 意图,以及对 HTTP、SMTP、FTP等常见服务的联机要求,甚至假造响应。用户可以在 Windows 系统上安装此一监督程序,但是这个程序若要监督对其执行所在系统的 Web 存取,必须设定占用 80 port,所以并没有办法让它和 IIS 共存在同一台系统上,这也不是个人防火墙,?不能预期它会保护您的系统。简易言之,它只是一个简单的伪装程序,帮您监督外界对您的系统的存取意图,您必须要放在 Firewall 的外面才会"看到" Code Red 的行迹。
红色警戒是一种针对 IIS 4.0及 5.0 安全漏洞设计的病毒,目前已经有了两个不同的版本(一说是三个版本),很可能很快的就会有更新的版本出现。 Code Red 被发现没多久,利用同样安全漏洞的 Code Red II 又在 8月 4日被发现,而且远比第一代更具杀伤力,它除了保持原有的感染能力之外,更加强对外感染的随机程度,最重要的是,它会在每一个受到感染的系统上植入后门程序。并且在其散播的过程所植入的后门,不单是原始的 Code Red II设计者可以利用,了解其运作原理的其他恶意用户,也可以借着这些后门进行更多更难以预测的后续入侵动作,而不必再辛苦地针对漏洞进行攻击。因此,短时间内,透过 Code Red II 产生的后门的攻击动作将会迅速的发酵,而产生大量的攻击的事件。届时,用户将更难分析 Code Red II 被利用的状况。目前,一般的系统管理者的当务之急,是尽速将这个 IIS 的ISAPI安全漏洞修补,IIS的用户可在 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-033.asp 取得修补程序及安装的相关信息。不过修补程序并不能移除 Code Red II植入的后门,可以先检查 c:\ 是否有 explore.exe 的程序,若是有此程序表示系统已被感染,此时就应该尽快处理,以免整个系统遭受破坏。