CodeRed并不将病毒信息写入被攻击服务器的硬盘。它只是驻留在被攻击服务器的内存
2001年6月18日 微软公司宣布在IIS网络服务器软件中发现一个漏洞， 而IIS软件是架设网站最基础的软件之一。 7月13日 一家名为“左岸系统”的公司称，几台服务器遭到一种新病毒 的入侵，利用的正是IIS服务器软件的这个缺陷。 7月16日 发现微软软件漏洞的软件公司程序员把一种饮料名称赋予了这个 病毒，称之为：红色代码(Code Red)。 7月18日午夜 红色代码大面积暴发，被攻击的电脑数量达到35.9万台。被攻 击的电脑中44%位于美国，11%在韩国，5%在中国，其余分散在 世界各地。
预防，它们就可能会在几天内快速传播、大规模感染网络，对网络安全造成严
重危害。看来，蠕虫不再是黑暗中隐藏的“黑手”，而是己露出凶相的“狼 群”。
计算机病毒与防治课程小组
蠕虫病毒简介
什么是蠕虫呢？
1988年 Morris蠕虫爆发后，Eugene H. Spafford为了区分蠕虫和 传统病毒，给出了蠕虫的技术角度的定义，“计算机蠕虫可以独立运行， 并能把自身的一个包含所有功能的版木传播到另外的计算机上。” 蠕虫显示出类似于计算机病毒的一些特征，它同样也具有四个阶段： 潜伏阶段 传染阶段 触发阶段 发作阶段
计算机病毒与防治课程小组
Co个名为“红色代码”的病毒开始疯狂攻击美国白宫网站，白 宫网站管理员将白宫网站从原来的IP地址转移到另外一个地址， 才幸免于难。然而灾难并没有结束，这个蠕虫病毒已复制变成 10多万个，并且以每4.5小时400MB的速度大量发送垃圾信息。 7月19日 “红色代码”停止猛攻进入休眠期，不再进行大规模的活动。 7月20日 瑞星公司通过全球病毒监控网获得“红色代码”病毒样本。 7月31日 格林尼治时间午夜整点，“红色代码”将再度复活，在全球 大面积蔓延，由于某些受感染的网站上出现“中国黑客入侵” 的字样，国外媒体产生“病毒制造者是否来自中国”的猜测。
计算机病毒与防治课程小组
Code Red病毒剖析
缓冲溢出黑客技术
“红色代码”采用了一种叫做“缓存区溢出”的黑客技术，利用网络上使用微软IIS系统 的服务器来进行病毒的传播。这个蠕虫病毒使用服务器的端口80进行传播，而这个端口 正是Web服务器与浏览器进行信息交流的渠道。“红色代码”主要有如下特征：入侵IIS 服务器，code red会将WWW英文站点改写为： “Hello! Welcome to ! Hacked by Chinese!”；与其它病毒不同的是，
近年来，由蠕虫引发的安全事件此起彼伏，且有愈演愈烈之势。
从 2001年爆发的CodeRed蠕虫、Nimda蠕虫，SQL杀手病毒 (SQL SLAMMER蠕虫)， 到近日肆掠的“冲击波”蠕虫病毒，无不有蠕虫的影子，并且开始与传统病毒 相结合了。蠕虫通常会感染Windows 2000! XP/Server 2003系统，如果不及时
4 与黑客技术相结合，潜在的威胁和损失更大!以红色代码为例，感染后 的机器的web目录的\scripts下将生成一个root.exe，可以远程执行任 何命令，从而使黑客能够再次进入!
计算机病毒与防治课程小组
Code Red病毒剖析
Code Red病毒简介
病毒名称：Code Red（红色代码）病毒，又名 W32/Bady.worm
病毒类型： 蠕虫病毒
危险级别：★★★★★
病毒特点：该蠕虫感染运行Microsoft Index Server 2.0的系统，或是 在Windows 2000、IIS中启用了Indexing Service(索引服务)的系统。
计算机病毒与防治课程小组
Code Red病毒爆发过程
红色代码病毒爆发了！！！
计算机病毒与防治
Virus
计算机病毒与防治课程小组
教学单元4-4 蠕虫病毒防治
第一讲 Red code 蠕虫病毒剖析
蠕虫病毒简介 蠕虫病毒特点 蠕虫病毒发展趋势 red code 病毒剖析
Red code 病毒防治
计算机病毒与防治课程小组
蠕虫病毒简介
蠕虫时代……
1988年11月2日，Morris蠕虫发作，几天之内6000台以上的Internet 服务器被感染，损失高达数百万美元。
计算机病毒与防治课程小组
蠕虫病毒特点
蠕虫病毒和传统病毒的比较
传统病毒 存在形式
复制机制 寄生 插入到宿主程序中 宿主程序运行 针对本地文件 计算机使用者 文件系统 从宿主文件中清除 计算机使用者、反病毒厂商
蠕虫
独立存在 自身的拷贝 系统存在漏洞 针对网络上的其他计算机 程序自身 网络性能、系统性能 为系统打补丁 系统提供商、网络管理人员
2 传播方式多样 如“尼姆达”病毒和“求职信”病毒，可利用的传播途径包 括文件、电子邮件、Web服务器、网络共享等等。
计算机病毒与防治课程小组
蠕虫病毒发展趋势
3 病毒制作技术与传统的病毒不同的是，许多新病毒是利用当前最新的 编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反 病毒软件的搜索。另外，新病毒利用Java、ActiveX、VB Script等技 术，可以潜伏在HTML页面里，在上网浏览时触发。
传染机制
传染目标 触发传染 影响重点 防止措施 对抗主体
计算机病毒与防治课程小组
蠕虫病毒主要功能模块
搜索模块 攻击模块 蠕 虫 程 序 功 能 模 型 基本功能模块 传输模块 信息搜集模块 繁殖模块 通信模块 扩展功能模块 隐藏模块 破坏模块 控制模块
计算机病毒与防治课程小组
蠕虫病毒发展趋势
1 利用操作系统和应用程序的漏洞主动进行攻击。此类病毒主要是“ 红色代码”和“尼姆达”，以及至今依然肆虐的“求职信”等.由于IE浏览器 的漏洞(Iframe Execcomand)，使得感染了“尼姆达”病毒的邮件在不去 手工打开附件的情况下病毒就能激活。 “红色代码”是利用了微软IIS服 务器软件的漏洞(idq.dll远程缓存区溢出)来传播。SQL蠕虫王病毒则是 利用了微软的数据库系统的一个漏洞进行大肆攻击!