【紅色警戒病毒資料】
各區網中心及下游單位可能因 Code Red病毒送出的封包造成 TANet 出國頻寬擁塞, 國內端送出的封包量遠大於國外流入 TANet 的封包量, 初步查證後送出到國外的封包增加最多的為 port 80, 可能為最近會發動大規模攻擊的Code Red 病毒,各區網送出的流量明顯增加很多, 可參考:
http://www.edu.tw/tanet/atm-vc/draw.cgi?cnc=gate
關於 Code Red 病毒資訊可參考 http://www.cert.org.tw/cindex.htm
請各單位檢查 Windows NT 及 Windows 2000之 server, 並請一定要檢查貴校內的 NT 及 Windows 2000server. 並參考 http://www.cert.org.tw/cindex.htm 做修補,以避免影響中心出國的頻寬。
紅色警戒每個月一個輪迴,前半月是感染期,此時會受感染的機器會不斷掃瞄
其他機器的 port 80,以目前的情況來看,似乎都跑回去掃瞄國外。等到下半個月進入攻擊期,一旦發生 DOS 攻擊,網路可能會癱瘓的更慘。
(以上資料由金門縣網中心提供)
【防治參考資料】
偵測遭感染紅色警戒病毒方法:
CodeRed Scanner(最早發現CodeRedWorm的eeye公司所分享出來的掃描程式,可以找到設定網段中被紅色警戒病毒植入木馬的主機,這裡放的是最新版本,可以找到第二代的木馬)
移除木馬解毒程式:
這裡有好幾家解毒公司分享的程式,有的才能解第二、三代,都用用看吧!希望真的能解毒。不過這些解毒程式如果有掃到病毒,幾乎都會說,感染病毒已清除,建議重新安裝系統,以確保安全。事實也的確如此,遭植入木馬後,等於交出最高管理者權限,誰知道接下來又被cracker做了什麼事?最保險的作法還是重新安裝系統,並做好所有該做的patch再接上網路吧!
解毒程式:cleanred.com、CodeRedCleanup.exe、FxCodeC.exe
Microsoft的修補程式(patch),請依序完成:
Win2000:SP2、Q293826、Q300972
NT4.0:SP6a、q295534i.exe、chtq300972i
最後,鄭重呼籲:
※新安裝的win2000或NT4.0,請務必做好以上patch才連上網路!
否則以目前四處流竄的攻擊封包數量來看,即使是使用modem撥接上網,很可能在10分鐘內就會遭到感染,等到被植入木馬後,就會:
1.交出這台主機的所有管理權限,讓cracker為所欲為。萬一這台主機是PDC或DC,說不定就可以因此對所有加入該domain的PC做所有cracker想做的事,例如刪除檔案、清除硬碟、安裝監聽程式、將木馬植入PC......
2.因為持續送出大量攻擊封包,可能減慢或癱瘓該主機對外的網路連線。尤其是使用modem撥接的user,本來頻寛就不是很大,又浪費很多頻寛去送攻擊封包,一定會覺得網路變得很慢,慢到幾乎無法忍受的地步。
3.如果受感染主機對外的頻寛很大,持續送出的攻擊封包,很有可能會吃光遭受攻擊主機的對外頻寛,造成遭受攻擊主機的網路癱瘓。
未來一定還會有很多使用者,安裝新的win2000或NT4.0,但是還沒有做好patch就連上網路。因此建議各區縣網或其他ISP能夠建立監測機制,在最短時間找出發動攻擊的主機,並儘速輔導改善,不然真的是沒完沒了,很多頻寛就浪費在這些無謂的攻擊封包了。目前台南市網和成大區網之間的連線,就被這種無謂的流量吃掉約2Mbps,而且還是port80的超小封包,表示flow數很大,造成http對外連線速率下降。
這個現象可能還要持續一段時間,看來InterNet其實還是滿脆弱的。說不定過幾天,就會有人找到很棒的解決方案也不一定,在這之前還是請大家先將自己的主機管好,免得害人害己,請記得:
※新安裝的win2000或NT4.0,請務必做好patch才連上網路!
(以上資料由台南市網中心提供)
病毒百科
紅色警戒病毒Q&A