病毒名称：CodeRed.F

　　病毒类型：IIS蠕虫

　　受感染的系统：病毒的攻击的对象为安装了IIS的Windows NT/2000系统，并且仅仅影响没有打微软的MS01-033补丁的IIS服务器。

　　病毒详细技术分析：

　　CodeRed.F是2001年出现的CodeRedII的变种，仅作一点修改。实际仍可称之未CodeRedII，金山毒霸的专杀工具仍然有效。

　　CodeRed.F利用微软IIS的IDQ缓冲区溢出漏洞获取系统权限实施攻击，并在这个被感染的Web服务器上安装一个后门程序，使得攻击者对被感染系统具有完全的访问权限，因此，一旦遭受感染，网络安全就会受到严重威胁。但只有没有安装最后的IIS service pack的系统才会受影响。

　　当WEB服务器受感染后，蠕虫将执行下面操作：

　　1、取得Kernel32.dll、WS2_32.dll、USER32.DLL中的一些API函数的地址包括：GetProcAddress、LoadLibrayA、CreateThread、GetTickCount、Sleep、GetSystemDefaultLangID、GetSystemDirectoryA、CopyFileA、GlobalFindAtomA、GlobalAddAtomA等

　　2、蠕虫的主线程检查两个标识：

　　a、"29A"，这个用来控制随蠕虫的后门木马的安装；

　　b、"CodeRedll"，如果该信号存在，那么蠕虫将进入无限制的休眠。

　　蠕虫的主线程还会检查系统的默认语言，如果默认语言是中文（Taiwan或者PRC），就会创建600个新的扫描线程，否则就创建300个扫描线程，这些线程根据随机产生的IP地址扫描新的主机，并试图感染。在这些扫描线程创建时，蠕虫的主线程复制Cmd.exe到下面的地方：

　　C:InetpubScriptsRoot.exe

　　D:InetpubScriptsRoot.exe

　　C:Progra~1Common~1SystemMSADCRoot.exe

　　D:Progra~1Common~1SystemMSADCRoot.exe

　　蠕虫在主机中安装的后门会在注册表中添加下面内容：

　　HKEY_LOCAL_MACHINESystemCurrentControlSetServicesW3SVCParametersVirtual Roots

　　通过该修改，并将用户组设置为217，那么黑客就可以通过WEB服务器用HTTP的GET请求在服务器上执行scripts/root.exe 程序。

　　蠕虫的主线程会在中文系统上休眠48小时，而其他系统则休眠24小时。而那些扫描线程仍然继续运行，并试图去感染其他主机。当蠕虫的主线程重新苏醒的时候，会重新启动主机。同时，所有的线程会检查是否是十月或者以后，以及年份是否大于等于0x8888（34952），如果是，那么系统就被重新启动。（注：CodeRedII的年份是0x7d2即2002，这是CodeRed.f跟CodeRedII的唯一区别。正因为CodeRedII使用的年份是2002,所以进入2002,CodeRedII就销声匿迹了。）

　　该蠕虫复制的cmd.exe程序到IIS的默认可执行目录下，那么就允许进行远程控制。同时它也会设置C:Explorer.exe和D:Explorer.exe属性为隐藏、系统文件和只读文件。

　　主机被感染24或者48小时后，系统会被重新启动，相同的主机可能被重复感染，除非安装了最新的补丁。如果月份是十月或者以后，以及年份是否大于34951，那么系统也会被重新启动。当系统重新启动后，木马就在系统执行Explorer.exe的时候运行起来。C:Explorer.exe木马先休眠几分钟，然后重新设置键值并确认。

　　解决方案：

　　１、先到以下链接下载微软针对该漏洞的安全补丁：

　　MS01-033 patch (http://www.microsoft.com/technet/security/bulletin/MS01-033.asp)

　　MS01-044patch (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-044.asp)

　　２、再下载金山毒霸红色代码II的专杀工具查杀病毒。相关链接：http://www.duba.net/resource/special/CodeRed2/index.htm