剛剛東森寄給我這封信∼∼大家要小心啊∼∼免得中了病毒又影響到別人，又拖慢網路速度，損人損己！！

Code Red 網蟲影響東森網路流量異常說明


針對近日許多用戶申告本公司Cable Modem 網路連線速度變慢, 同時Cable Modem 的 RD 燈無論是否使用都持續閃爍的狀況, 經本公司確認係因部份Cable Modem用戶的個人電腦遭Code Red病毒入侵後, 並在全球網際網路上對其他人發出大量攻擊封包使得流量異常增加所致。此一Code Red病毒和所產生的壅塞狀況並非東森網路本身的異常問題, 其影響到是所有ISP與用戶。目前對此本公司除了積極與各相關單位合作尋求改善並有如下之處置措施 :

1.本公司已在骨幹網路上, 設置若干防堵及過濾機制, 以降低病毒攻擊封包對客戶連線速度的影
響, 但這只能舒緩部分的影響。

2.本公司將會針對東森寬頻網路用戶進行Code Red病毒掃描，若發現該用戶端已經中毒並一直發
送病毒給其他用戶時，我們將會主動告知傳送病毒之源頭用戶要求進行掃毒，若無法即時聯絡
到該名用戶，本公司將會先行將該用戶的網路做off-line處理，直到該名用戶掃毒過後不會影
響到其他用戶的權益為止。為維護整體網路品質，倘若造成不便，請多多見諒。

3.強烈建議使用Windows NT Server、Windows 2000 Server用戶立刻自行檢查是否有感染
Code Red病毒, 若有請立刻解毒, 若無並請做好防毒準備, 相關資料請參考: 台灣電腦網路危
機處理中心所提供之以下資訊。

<簡述>
最近網路上有一隻會自我繁殖入侵系統的惡意程式碼，在IIS伺服器所產生的安全性漏洞
導致此一網蟲能輕易入侵沒有修補過的IIS WEB 伺服器，在CERT安全通報 CA-2001-13
Buffer Overflow In IIS Indexing Service DLL中有關於此漏洞的描述。目前已有超過
225,000 個主機被"Code Red"網蟲所影響，且繼續擴散中。

<影響系統>

Microsoft Windows NT 4.0 with IIS 4.0 or IIS 5.0 enabled
Microsoft Windows 2000 (Professional, Server, Advanced Server, Datacenter
Server)
beta versions of Microsoft Windows XP
Cisco CallManager, Unity Server, uOne, ICS7750, Building Broadband Service
Manager (these systems run IIS)
Unpatched Cisco 600 series DSL router

<說明>
以下範例，我們來看"Code Red"進行入侵攻擊的動作：

被植入"Code Red"網蟲的受害主機會去掃瞄其它主機的 TCP port 80。發現對方主機有開
啟 TCP port 80，接著送出 HTTP GET 等指令至對方主機，試著利用存在 Indexing
Service 的 buffer overflow 漏洞進行入侵。此漏洞在CERT advisory CA-2001-13 有相關
描述及修補方式。一旦入侵成功，網蟲會在受害者主機上自我繁殖，剛開始先找尋 C 磁碟下
的 c:\notworm，如果找到有這個目錄，,網蟲就會停止執行；若找不到 c:\notworm，網蟲就
會產生大量的執行序，亂數掃瞄 IP 位址那些有開啟TCP port 80的主機，入侵那些沒有安裝
修補程式的 IIS WEB 伺服器。假如被入侵主機的語言版本為英文，在網路上掃瞄約百次後或隔
一段時間進行更改網頁的動作，所有英文語系的網頁會被更改為以下訊息：

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

被植入網蟲的主機語言版本不是英文，網蟲會繼續掃瞄，入侵其它WEB 主機，且不會更改
其網頁內容。

　"Code Red" 網蟲入侵的動作在受害主機上的 IIS 稽核檔案呈現如下字串：

/default.idaNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531
b%u53ff%u0078%u0000%u00=a

另外，被入侵主機網頁被更改為以下訊息：

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

此網頁內容被儲存在記憶體沒有寫入磁碟，所以在硬碟是無法藉著找尋到以上訊息判斷是否被入侵。入侵網路動作被植入"Code Red"網蟲的主機藉著亂數掃瞄網路上的其它有開啟TCP port 80的主機進行感染。

另外有關網蟲的相關細節已公佈在 eEye Digital Security http://www.eeye.com網站上。

<影響>
主機被入侵後，系統效能因執行大量掃瞄的動作導致負荷量大增，系統效能因而降低，沒
有受到感染的主機可能會成為網蟲的攻擊目標，受到DOS(denial of service)的攻擊。
由於網蟲使用相同的亂數IP位址表進行網路掃瞄，因此被植入網蟲的主機可能同時多次掃瞄同
一台主機。

"Code Red&quo網蟲並不僅進行大量掃瞄動作及更改網頁，在這之前需要獲得被入侵主機的系統權限(Local System security context)以方便可在機器上執行任意指令，獲得的權限相當於管理者權限，可完全控制該主機。

解決方式：

強烈建議參考CERT安全通報編號 CA-2001-13文件，儘速在網路上所有此漏洞的主機安裝修補程式。若在您的網路環境上可能有被入侵的主機，請參考以下網址進行防護相關措施：

http://www.cert.org/tech_tips/win-U...compromise.html

2001/08/03: "Code Red" worm 簡易解法

請參考 http://www.cert.org/archive/html/co...nounce.htmlCode Red 檢測及修補程式下載：http://www.eeye.com/html/Research/Tools/codered.html


文章出處：台灣電腦網路危機處理中心