• CodeRed检测和清除工具是一个轻便的工具,目标Win32.IISWorm的。CodeRed的。F蠕虫。

    的病毒攻击的缓冲溢漏洞的Microsoft Windows IIS服务器上运行的Microsoft Windows NT和Windows2000。 修补和信息有关这个问题可以发现在的地址:

    http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

    蜗开始扩展本身通过发送HTTP查询。 未修复机会的执行蜗码直接从存储器。 一旦执行,蜗扫描kernel32.dll 's出口表GetProcAddress功能后发现该地址的功能需要进一步蔓延。 然后,它的漏洞的又一个错误,在微软窗口,相对壳路径的脆弱性。

    这个特别的漏洞是用来装载另一个壳的程序,而不是通常的explorer.exe (%)通过编写一个文件命名为explorer.exe 在%的SYSTEMROOT%的目录。 蠕虫检查是否是中国(无论是传统的简化或)语言上安装的系统。 如果这是中国,它创建了600线和传播为48小时的。 在非国系统中创建了300线和传播24小时。

    在这之后,它重新启动系统使用ExitWindowEx功能。 蠕虫堆放场的一部分身体%SYSTEMROOT%explorer.exe,这实际上是在一个特洛伊木件,允许攻击者可以远程访问受感染的计算机。

    木马件修改登记册的关键:

    [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSFCDisable]

    禁用文件系统的安全并允许远程攻击者访问驱动器C:和D:通过网络浏览器由加read/write权使用注册机构的关键:

    [HKLMSYSTEMCurrentControlSetServicesw3svcparametersvirtual根]

  • CodeRed का पता लगाने और हटाने के उपकरण एक हल्के उपयोगिता है कि लक्ष्य Win32.IISWorm.CodeRed.एफ worm.

    वायरस के कारनामे एक बफर अतिप्रवाह जोखिम में Microsoft Windows IIS सर्वर पर चलाता है कि Microsoft Windows NT और Windows 2000 के लिए । पैच और जानकारी इस समस्या के बारे में पाया जा सकता है:पते पर

    http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

    कीड़ा फैल शुरू होता ही भेजने के द्वारा HTTP प्रश्नों. Unpatched मशीनों पर अमल करेंगे कीड़ा कोड सीधे स्मृति से है । एक बार मार डाला, worm स्कैन kernel32.dll 'निर्यात के लिए टेबल GetProcAddress समारोह और फिर पाता पते के आवश्यक कार्यों के लिए आगे फैलाना है । यह तो कारनामे अभी तक एक और बग Microsoft Windows में, रिश्तेदार खोल पथ जोखिम ।

    इस विशेष भेद्यता का इस्तेमाल किया जाता है लोड करने के लिए एक और खोल प्रोग्राम के बजाय हमेशा की तरह explorer.exe (में %WINDIR%) लेखन के द्वारा एक फ़ाइल नाम explorer.exe में %SYSTEMROOT% निर्देशिका. कीड़ा जाँच करता है कि चीनी (या तो पारंपरिक या सरलीकृत) भाषा सिस्टम पर स्थापित है । यदि यह चीनी है, यह बनाता है 600 धागे और फैलता के लिए 48hours. पर एक गैर-चीनी प्रणाली बनाता है यह 300 धागे और 24 घंटे के लिए.

    उसके बाद, यह रिबूट प्रणाली का उपयोग कर ExitWindowEx समारोह है । कीड़ा उदासीनता का हिस्सा अपने शरीर के लिए %SYSTEMROOT%explorer.exe है, जो वास्तव में एक ट्रोजन घटक की अनुमति देता है, हमलावर को दूरस्थ रूप से पहुँच संक्रमित कंप्यूटर है.

    ट्रोजन घटक को संशोधित रजिस्ट्री कुंजी:

    [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSFCDisable]

    अक्षम करने के लिए फ़ाइल सिस्टम सुरक्षा और अनुमति देता है एक दूरस्थ हमलावर का उपयोग करने के लिए ड्राइव C और D: एक वेब ब्राउज़र के माध्यम से जोड़ने के पढ़ने/लिखने के अधिकार का उपयोग कर रजिस्ट्री कुंजी:

    [HKLMSYSTEMCurrentControlSetServicesw3svcparametersvirtual जड़ों]

  • CodeRed Detection and Removal Tool is a lightweight utility that targets the Win32.IISWorm.CodeRed.F worm.

    The virus exploits a buffer overflow vulnerability in the Microsoft Windows IIS Server, that runs on Microsoft Windows NT and Windows 2000. The patch and information about this problem can be found at the address:

    http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

    The worm begins spreading itself by sending HTTP queries. Unpatched machines will execute the worm code directly from memory. Once executed, the worm scans kernel32.dll 's export table for the GetProcAddress function and then finds the addresses of the functions needed for further spreading. It then exploits yet another bug in Microsoft Windows, the relative shell path vulnerability.

    This particular vulnerability is used to load another shell program instead of the usual explorer.exe (found in %WINDIR%) by writing a file named explorer.exe in the %SYSTEMROOT% directory. The worm checks whether Chinese (either Traditional or Simplified) is the language installed on the system. If it is Chinese, it creates 600 threads and spreads for 48hours. On a non-Chinese system it creates 300 threads and spreads for 24 hours.

    After that, it reboots the system using ExitWindowEx function. The worm dumps part of its body to %SYSTEMROOT%explorer.exe, which is in fact a trojan component, allowing the attacker to remotely access the infected computers.

    The trojan component modifies the registry key:

    [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSFCDisable]

    to disable file system security and allows a remote attacker to access drives C: and D: via a web browser by adding read/write rights using the registry key:

    [HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots]