美国网络联盟(NAI)公司2001年8月1日电(北京)——Code Red病毒自7月19日首次爆发,迄今为止全球已有30万台电脑遭受该病毒的攻击,造成的损失正在以小时为单位不断升级,目前已高达12亿美元。NAI公司提醒用户,该病毒在8月1日以后有可能重新开始活动,必须立即更新防御措施以避免下一次潜在的攻击。
Code Red是病毒作者暗中破坏全球范围内网络商业安全的最后武器。它采用了一种叫做"缓存区溢出"的黑客技术,利用网络上使用微软IIS系统的服务器来进行病毒的传播。这个蠕虫病毒使用服务器的端口80进行传播,而这个端口正是Web服务器与浏览器进行信息交流的渠道。 Code Red主要有如下特征:入侵IIS服务器,将WWW英文站点改写为“Hello! Welcome to www.Worm.com! Hacked by Chinese!”等信息;每月1日-19日,随机攻击更多的服务器;每月20日-27日,向特定IP地址(198.137.240.91)发动DOS攻击。
与其它病毒不同的是,Code Red并不将病毒信息写入被攻击服务器的硬盘。它只是驻留在被攻击服务器的内存中,并借助这个服务器的网络连接攻击其它的服务器。这就意味着要发现这种蠕虫病毒是不能依赖于传统的防病毒软件和防火墙,而需要利用Code Red侵入或离开服务器的时候,从网关入手才可以有效防范。
WebShield e500是NAI为其McAFee用户设计, 应用于SMTP, HTTP, FTP and POP3协议。保护用户免受来自网络环境下路由攻击的产品,它的http扫描器可以监测所有的http流量。WebShield e500扫描的端口包括用户通常基本不涉及的流量和端口,而这些流量和端口实际是建立浏览器的服务器连接时必须使用到的。
当WebShield e500发现来自路由的网络信息中Code Red病毒时,将立即发送一个拒绝信号给这个信息的发送者,并消除包括Code Red的数据,中断发送者与这个服务器之间的连接,以保障用户服务器的安全。
