在本站转发了"是"消毒"成功还是假警报? "红虫"未大规模爆发"的新闻后不久,就接连闻听到国内网站遭到CodeRed攻击的消息。
今天早上,记者在一些大BBS看到了诸多用户关于ISS崩溃、收到奇特的HTTP请求等大量求助,症状极像Code Red。为此,记者在网上采访了病毒观察站顾问,Antiy安全实验室的研究人员肖新光(江海客)。
他介绍说:"根据目前掌握的情况看,该蠕虫可能已经在国内大规模泛滥。这几天我们收到到的,与Code Red有关的求助不下几十起。其中甚至包括安全站点。" "昨天我们一台连在网上的机器,12个小时内截获了上千个CodeRed请求,根据请求看,该病毒已经产生了变种,因为eeye等材料都介绍病毒初始发出的GET请求是以GET /default.ida?NNNNNN(224个N)开始的,但昨晚截获的包都是GET /default.ida?XXXXX(224个X)""我们今早紧急在各大BBS已经张贴了'关于IIS蠕虫CodeRed的紧急说明',根据教育网一些BBS的消息,某些网段已经受到了极其严重的影响"。
江海客在ICQ上意味深长的对记者说,不知道这个蠕虫是否是国内所作,但是无疑,病毒传播感染是难以控制的,被修改而变种的也是难免的。写Code Red的人自己可能出于对美国义愤,但结果证明了我们自己的用户安全意识更差。 "给人家补了城墙,推到了自己后院的篱笆,这件事情,国内的黑客应该引以为戒。"
附:关于IIS蠕虫CodeRed的紧急说明
Antiy Labs 江海客
蠕虫IIS-Worm.Bady,又名"Code Red",国内翻译为红色代码,已经在国内大规模泛滥。
前天,8月4日,我们先后收到多个Web站点管理员或负责人的求助,症状均为IIS启动后1分钟左右就停掉。无法正常工作。
昨天晚上,由于我们的代理服务器整夜上载因万网遭到大规模攻击而被破坏的几个网站,机器开了一整夜,结果我们自己的单机IDS截获到了来自数十个IP的大量GET/ default.ida?XX请求。看来该蠕虫已经泛滥成灾。
今天早晨,连续接到近十封用户求助信, 关于该蠕虫的具体机理来不及说了,我们将尽快在virusview.net提供疫情响应和处理专题。我们今早刚刚拿到样本,正在进行剖析。(万网的上端路由器大概今天早上遭到攻击,如果大家
联接不上我们会继续在各大BBS张贴新的建议和支持)
先简单说明一下:
1、该蠕虫是一个IIS(Microsoft Internet Infomation Server)蠕虫,只对安装了IIS系统并启动了index服务的机器有威胁。
2、IIS默认安装时,indexing Service是被安装的。
3、这个蠕虫是通过一个名为"Unchecked Buffer in Index Server ISAPI Extension" 的漏洞,造成IIS溢出来使自身传播的。有关详情清见eeye等公司的分析报告
(这次Code Red利用的漏洞就是eeye发现的)
尚未感染此蠕虫的用户可以如下处理,
管理工具IIS管理器/主目录(活页)/配置(按钮)/把应用程序映射的.idq删除。或者把%windowsdir%\system32中的idq.dll备份后删除。这个文件属于index server的一部分,安装iis时默认安装的 一般的WEB 应用不会用到indexing service,尤其是国内用户,使用这个得比较少,不必担心。可能很多用户说不知道index service是什么,既然不知道是什么就更不会用到了,是不是;-)
微软已经提供了官方补丁,在此页面中下载
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
网络监控:
如果用户大量收到类似如下的HTTP请求应为是Code Red在传播。
GET /default.ida?{之后有224个相同的N或者X}%u9090%u6858%ucbd3%u7801%u9090 %u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00....
采用snort规则兼容系统的IDS用户,可以添加如下规则,来监控病毒的请求。
alert tcp !$HOME_NET any -> $HOME_NET 80 (msg:" Code Red- IIS-Unchecked Buffer in Index Server ISAPI Extension";flags:PA; content:"/default.ida"; nocase;)
