Loading AI tools
电脑蠕虫 来自维基百科,自由的百科全书
红色代码 是2001年7月15日在互联网上观察到的一种電腦蠕蟲 。它会攻击运行微软IIS Web服务器的计算机。
常用名稱 | 红色代码 |
---|---|
技術名稱 | CRv 和 CRvII |
感染系统 | Windows |
發現時間 | 2001年7月15日 |
eEye Digital Security员工Marc Maiffret和Ryan Permeh首先发现和研究了红色代码蠕虫,蠕虫利用了Riley Hassell发现的漏洞。他们将其命名为“Code Red”,因为Code Red Mountain Dew是他们当时正在喝的饮料[1]。
尽管蠕虫在7月13日开始散布,2001年7月19日就感染了数量最多的计算机。在这一天,受感染的主机数量达到了359,000台。 [2]
随IIS的市场份额的不断增长,该蠕虫使用了一个在微软安全公告MS01-033[3]中描述的漏洞,而补丁已在一个月前发布。
蠕虫使用一种常见的漏洞(称为缓冲区溢出)进行传播。它使用重复字母'N'的长字符串来溢出缓冲区,从而使蠕虫执行任意代码并用蠕虫感染机器。Kenneth D. Eichman是第一个发现如何阻止它,并被邀请到白宮讲解他的发现的人[4]。
蠕虫的有效载荷包括:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
在扫描易受攻击的计算机时,蠕虫不会测试远程计算机上运行的服务器是否是易受攻击的IIS版本,甚至无法检测它是否运行IIS。此时的Apache访问日志经常有这样的条目:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
蠕虫的有效载荷是最后一个'N'后面的字符串。由于缓冲区溢出,易受攻击的主机将此字符串解释为计算机指令,传播蠕虫。
2001年8月4日,红色代码II出现。红色代码II是原始红色代码蠕虫的一个变种。尽管它使用相同的注入向量,但它有完全不同的有效载荷。它根据固定的概率分布伪随机地选择与被感染机器相同或不同子网上的目标,同时更倾向于位于自己子网内的目标。此外,它使用重复的'X'字符而不是'N'字符模式来使缓冲区溢出。
eEye公司认为,该蠕虫起源于菲律宾马卡蒂市,与VBS/Loveletter(又名“ILOVEYOU”)蠕虫来源相同。
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.