红色代码病毒

Code Red蠕虫传播速度快，可导致访问速度大幅下降甚至阻塞。 “红色代码”蠕虫造成的危害主要是篡改网页，攻击网络上的其他服务器，被攻击的服务器可以继续攻击其他服务器。 每月20-27日，对特定IP地址198.137.240.91()进行攻击。该病毒于2001年7月19日首次爆发红色代码，2001年7月31日再次爆发，但由于大多数计算机用户已经提前安装补丁软件，病毒二次爆发的危害明显减弱

红色代码使用一种称为“缓冲区溢出”的黑客技术，通过使用 IIS 系统的互联网服务器传播病毒。 蠕虫使用服务器的端口 80 进行传播，该端口是 Web 服务器与浏览器通信的通道。 Code Red主要有以下特点：入侵IIS服务器红色代码，Code red将WWW英文站点重写为“Hello！to！by！”；

与其他病毒不同，红色代码不会将病毒信息写入被攻击服务器的硬盘。 它只是驻留在被攻击服务器的内存中，通过服务器的网络连接攻击其他服务器。

《红色代码2》是《红色代码》的改进版。 病毒作者对病毒体做了很多优化，它也可以攻击“红色代码”病毒可以攻击的联网计算机，但又不同于“红色代码”。 这种新变体不仅针对英语系统，而且针对任何语言的系统。 而且，这种病毒还可以在被攻击机器上植入“木马”，使被攻击机器“开后门”。 《红色代码2》具有极强的扩展性，通过程序完成木马的植入，让病毒作者可以通过改进程序来达到不同的破坏目的。 当机器日期大于2002年10月时，病毒会强行重启电脑。

1、病毒依赖的系统：WinNT/2000（安装并运行IIS服务程序）

2、病毒感染：通过IIS漏洞，IIS服务程序在处理请求数据包时溢出，导致这个“数据包”以代码形式运行。 病毒驻留后，再次通过该漏洞感染其他服务器。

3、病毒爆发：强行重启电脑

4.其他信息：

(Code Red 2) 是 (Code Red) 的改进版本。 它不同于以往的文件型病毒和启动型病毒，只存在于内存中，感染时不经过文件的常规载体，直接从一台电脑的内存传播到另一台电脑的内存. 所不同的是，该病毒还包含了木马程序，这使其具有了其前身无法比拟的可扩展性。 只要病毒作者愿意，随时可以更换这个程序，以达到不同的目的。

五、程序流程：

当本地IIS服务程序收到一个未经请求的请求包时，由于漏洞，处理函数()的堆栈溢出。 函数返回时，原来的返回地址已经被病毒数据包覆盖，程序运行行碰到病毒数据包。 此时病毒被激活，运行在IIS服务程序的栈中。

病毒代码会先判断内存中是否注册了一个名为Atom的Atom（系统用来识别物体）。 如果这个对象已经存在，说明机器已经被感染，病毒进入无限休眠状态。 如果它没有被感染，Atom 就会被注册和创建。 300个病毒线程，当判断系统默认语言ID为中华人民共和国或台湾时，线程数飙升至600个，创建完成后，初始化病毒体内的一个随机数生成器. 受感染的目标计算机 IP 地址。 每个病毒线程每100毫秒向随机地址的80端口发送一个长度为3818字节的病毒感染数据包。 完成上述工作后，病毒将系统目录下的CMD.EXE文件分别复制到系统根目录\和系统根目录~1~1MSADC目录下，并命名为root.exe。 然后从病毒体中释放出一个木马程序，复制到系统根目录下，并命名为.exe。 木马运行后会调用系统原有的.exe。 已被修改。 由于释放木马的代码是一个循环，如果发现目标目录下的.exe被删除，病毒会再释放一个。

最后病毒休眠24小时（中文版为48小时）并强行重启电脑。 当病毒线程判断日期大于2002年10月时，会立即强行重启计算机。