長篇報道：追殺“代號紅色”病毒紀實

【大紀元8月16日訊】如果說小球病毒是因為第一個大面積傳播的計算机病毒而出名的話，那么大規模傳播的惡性病毒的第一個恐怕要給CIH了，而借助网絡傳播的惡性病毒的第一個又是誰呢？那絕對是今天還在作亂的“紅色代碼”莫屬了。

与病毒打了長達十几年交道的著名反病毒專家、瑞星公司總經理劉旭這樣評价“紅色代碼”病毒：這是一种新型网絡病毒，非常可怕，所使用的技術可以充分體現网絡時代网絡安全与病毒的巧妙結合，開創了网絡病毒傳播的新路，可稱之為划時代的病毒。如果稍加改造，將是非常致命的病毒，可以完全取得所攻破計算机的所有權限為所欲為，可以盜走机密數据，嚴重威脅网絡安全。

如果能夠得到著名反病毒專家這么高的評价，那么這個病毒也足夠引發人們的重視了。況且，“紅色代碼”之父沒有留下任何蛛絲馬跡，而且受攻擊的网站經常出現“中國黑客入侵”字樣，這更給這個病毒的身世添上了神秘的色彩。

緣起

6月18日，微軟公司宣布在ISS网絡服務器軟件中發現一個漏洞，而ISS軟件是架設网站最基礎的軟件之一，而這正是黑客夢寐以求的軟件缺陷，從而引發了全球黑客對這一軟件“缺陷”的高度重視。

7月13日，一家名為“左岸系統”的公司稱，几台服務器遭到一种新病毒的入侵，利用的正是ISS服務器軟件的這個缺陷。

7月16日，發現微軟軟件漏洞的軟件公司程序員把一种飲料名稱賦予了這個病毒，稱之為：“紅色代碼(CodeRed)”。

7月18日午夜，“紅色代碼”大面積爆發，被攻擊的電腦數量達到35.9万台。被攻擊的電腦中44%位于美國，11%在韓國，5%在中國，其余分散在世界各地。

7月19日，這個名為“紅色代碼”的病毒開始瘋狂攻擊美國白宮网站，白宮网站管理員將白宮网站從原來的IP地址轉移到另外一個地址，才幸免于難。然而災難并沒有結束，這個蠕虫病毒已复制變成10多万個，并且以每4.5小時400MB的速度大量發送垃圾信息。

7月19日，“紅色代碼”停止猛攻進入休眠期，不再進行大規模的活動。

7月20日，瑞星公司通過全球病毒監控网獲得“紅色代碼”病毒樣本。

7月31日，格林尼治時間午夜整點，“紅色代碼”再度复活，在全球大面積蔓延，由于某些受感染的网站上出現“中國黑客入侵”的字樣，國外媒體產生“病毒制造者是否來自中國”的猜測，但由于制作者沒有留下任何蛛絲馬跡，而且首次爆發主要在美國等地，所以這只能是一种猜測。

變身

7月31日爆發的病毒已經做了修改，對其中一些錯誤進行了修正，使其傳播和攻擊能力進一步加強。然而，人們卻沒有料到，“紅色代碼”病毒再次經過修改，其變种卷土重來，這次扑向的是使用中文系統的网站。

据瑞星公司技術部門分析的結果表明：作為改進后的版本，“紅色代碼”可以創建300個線程在网絡上查找未感染的計算机，當判斷到系統默認的語言是中華人民共和國或中國台灣時，查找線程數猛增到600個，占用大量系統資源和网絡資源，造成网絡擁堵。

瑞星公司的模擬實驗顯示：病毒采用隨机產生IP地址的方式，每個病毒每天能夠掃描40万個IP地址，搜索未被感染的計算机，在尋找到“獵物”后，病毒會向寄生虫一樣，通過自我安裝感染服務器，一旦在某台服務器中安裝成功，接下來它就會利用這台服務器，搜尋更多的感染目標，其傳播速度非常惊人。

更可怕的是，在感染計算机后，它還從病毒體內釋放出一個木馬程序，駐留在計算机當中，為入侵者大開方便之門。

“紅色代碼”病毒的傳播机理不同于以往的文件型病毒和引導型病毒，采用的机理很特殊，利用WINTEL构架的缺點，它只存在于內存當中，傳染時不通過文件這一常規載體，直接從一台電腦內存到另一台電腦內存。如果把所有的計算机都同時關掉，病毒將不复存在，而這樣做完全是不可能的。

8月6日上午，瑞星公司24小時800免費電話接連打來電話，其中一家企業网絡處于癱瘓狀態，服務器一天重新啟動20余次，下午緊急召集瑞星等三家著名反病毒厂商現場會診，瑞星技術人員根据現象當即斷定是“紅色代碼”新的變种，馬上進行現場采樣，連夜分析，經過一夜的艱苦奮戰，至凌晨4：30，拿出解決方案，到5：40升級程序編制完成，6：00整，升級程序及相關資料全部公布在瑞星网站上。也是這一天，公安部發布緊急通告，加強防范“紅色代碼”病毒。

8月7日一大早，瑞星公司技術人員再次通報：經過仔細分析解剖“紅色代碼”的變种，又發現該惡性病毒的新招術，在它感染計算机后，修改操作系統注冊表，將Scripts、MSADC、C盤和D盤的屬性改為可讀寫，這樣便可以遠程操控感染計算机，對其進行讀寫操作，并通過网絡盜走資料數据。很多用戶在清除該病毒并彌補軟件漏洞之后，并沒有恢复以上四項的屬性，特別是C盤和D盤的讀寫操作屬性，這為黑客留下了可乘之机，瑞星公司提出了相應的解決辦法。

具體方法如下：在殺毒后重新啟動計算机，再次殺毒以消滅木馬程序，然后打開“控制面板”，找到“管理工具”，運行“Internet信息服務”，在其“默認的Web站點”選項中將C、D、Scripts和MSADC的屬性改為原有屬性。

反思

反思一：通過“紅色代碼”病毒事件，證明了在网絡時代，病毒傳播的速度是極其惊人的，其危害也極為巨大，國內用戶限于應用水平和麻痹思想，并沒有對計算机安全給予高度的重視和相關的投入，這也提醒用戶是否應該進一步做好病毒防范工作。

反思二：瑞星公司早在7月20日就得到了病毒樣本，并分析解剖提出了破解方法，制作出了升級程序，由于病毒發作主要在國外針對英文网站，沒有意識到在病毒變种后針對中文网站進行攻擊，所以沒有采取緊急升級措施，致使用戶疏于防范。

反思三：“紅色代碼”病毒的傳播机理是相同的，其變种致少有兩种，一些反病毒厂商將其不同變种歸納為一代、二代、三代，事實上是出于炒作的需要，俗話說“蛇打七寸”，如果掌握病毒傳播机理，其防治效果相當顯著。

反思四：國外各通訊社緊盯“紅色代碼”不放，特別是有關“中國制造”的說法，更讓國內媒體不敢輕舉妄動，這在一定程度上影響了對該病毒的宣傳防范。

反思五：國內企業网絡應用水平不高，對于計算机病毒一般采用單机版殺毒，而且采用手工升級的方式，很難徹底根除网絡病毒，瑞星网絡版用戶由于使用全网殺毒、定時智能升級等功能，在此次网絡病毒大爆發中安然無恙，從中可以看出企業在這方面認識的滯后。

反思六：“紅色代碼”病毒源自于微軟公司操作系統軟件的一個“缺陷”或“漏洞”或“BUG”，這樣一個對微軟來說小小的錯誤造成了如此巨大的恐慌和損失，對于這樣一個一統天下的操作系統軟件公司來說，是否應追究其產品質量問題，并提出相應的索賠，似乎也在情理之中。

(人民网-市場報)(https://www.dajiyuan.com)

    相關文章