24小时热门版块排行榜

>论坛更新日志 (6443)
>考研 (1698)
>导师招生 (1354)
>文献求助 (495)
>虫友互识 (290)
>考博 (279)
>硕博家园 (155)
>博后之家 (116)
>基金申请 (109)
>招聘信息布告栏 (92)
>论文投稿 (90)
>休闲灌水 (86)
>第一性原理 (65)
>教师之家 (64)
>公派出国 (43)
>外文书籍求助 (32)

返回列表

当前主题已经存档。

航空母舰

金虫 (正式写手)

应助: 0 (幼儿园)
金币: 471.7
散金: 262
帖子: 594
在线: 138.8小时
虫号: 71623
注册: 2005-05-31
专业: 凝聚态物性I:结构、力学和

[交流] [资源]"Code Red" 蠕虫攻击方式分析

详细：CODE RED 利用 IIS WEB 服务器 .IDA 缓冲区溢出漏洞传播。如果它感染了一个主机，将会在受影响机器上作如下活动：
1、建立起初始蠕虫环境
2、建立起100个蠕虫线程
3、前99个线程会传播感染其它主机
4、第100个线程会检查自身是否运行于一个英文版本的 Windows NT/2000
如果是，它将会替换该主机页面
Welcome to http://www.worm.com !, Hacked By Chinese!
该信息会在10小时后自动消失,除非再次受到感染。
如果不是英文版本，它也会被用作感染其它主机。
5、每个线程会检查当地时间
如果时间位于 20:00 UTC 和 23:59 UTC 间，该线程会往
www.whitehouse.gov 发送 100K 字节数据。
如果小于 20:00 UTC，它会继续传播感染其它主机
在下面的详细分析中，将要用到
IDA(Interactive Disassembler) ，它来自www.datarescue.com。
MS VC++ 调试环境
我将该蠕虫分为三个部分以便研究：核心功能模块，hack web 页面模块，攻击
www.whitehouse.gov 模块。
一、核心功能模块
1、起始感染容器（已被感染并将传播蠕虫的主机）
当被感染时，系统内存将会呈现如下信息：

4E 00 4E 00 4E 00 4E 00
4E 00 4E 00 4E 00 4E 00
4E 00 4E 00 4E 00 4E 00
92 90 58 68 4E 00 4E 00
4E 00 4E 00 4E 00 4E 00
FA 00 00 00 90 90 58 68
D3 CB 01 78 90 90 58 68
D3 CB 01 78 90 90 58 68
D3 CB 01 78 90 90 90 90
90 81 C3 00 03 00 00 8B
1B 53 FF 53 78
EIP 会被 0x7801CBD3 重写。在 0x7801CBD3 处的代码将会被分解成 call ebx ，当 EIP 被 call ebx 重写时，它会导致程序流重定向回堆栈。堆
栈上的代码将会跳到蠕虫代码，该蠕虫代码在起始 HTTP 请求体中。
2、建立起始堆栈变量
CODEREF: seg000:000001D6 WORM
首先，蠕虫建立一个充满 CCh 的 218h 字节堆栈，然后它将转而激活跳转函数。
所有的变量会被引用为 EBP-X 值。
3、装载函数（建立跳转表"jump table"

CODEREF: seg000:00000203 DataSetup
首先，蠕虫会引用 exploit 代码在 EBP-198h 中的数据部分。然后，它需要创建自己内部函数跳转表。
该蠕虫用到了一项 RVA (Relative Virtual Addresses) 查询技术，在一个 nutshell 中，RAV 被用来得到 GetProcAddress 的地址。
GetProcAddress 然后被用来得到 LoadLibraryA 地址。它会用到这两个函数装载下面的函数：
>From kernel32.dll:
GetSystemTime
CreateThread
CreateFileA
Sleep
GetSystemDefaultLangID
VirtualProtect
>From infocomm.dll:
TcpSockSend

>From WS2_32.dll:
socket
connect
send
recv
closesocket
最后，蠕虫会存储 w3svc.dll 的基地址，该地址将被用来更改页面。
4、检查已经创建的线程：
CODEREF: seg000:00000512 FUNC_LOAD_DONE
它会运行 WriteClient (ISAPI Extension API 的一部分)，发送"GET" 回进攻机。这应该是告诉告诉攻击机它已成功感染该机。
然后，它会计算活动的蠕虫线程
如果线程等于100，控制会转向 hack web 页面功能项。
如果线程小于100，它会创建新的线程。每一个新线程都是蠕虫的简单复制。
5、检查已存在的 c:\notworm
它有一个"lysine deficiency" 功能，用来保持恶意代码进一步传播。
如果该文件存在，它不会作其它动作;如果不存在，它会进行下一步。
6、检查受影响系统时间：
CODEREF: seg000:00000803 NOTWORM_NO
CODEREF: seg000:0000079D DO_THE_WORK
如果时间位于 20:00 UTC 和 23:59 UTC 间，该线程会往
www.whitehouse.gov 发送 100K 字节数据。
如果小于 20:00 UTC，它会继续传播感染其它主机
7、感染一个新的主机
如果能建立一个80端口连接，它将会发送自己的一个复制到那个 IP，如果发送成功，它会关闭 socket 并转到第5步，从而开始一个新的循环。
二、hack webpage 模块
如果100个线程产生，该模块会被调用
1、检查系统语言是否为英文，然后转到核心模块第5步
CODEREF: seg000:000005FE TOO_MANY_THREADS
2、休眠2小时
CODEREF: seg000:00000636 IS_AMERICAN
这应该是在更改页面之前作尽可能的传播。
3、试图改变受影响系统的 WEB 页面
CODEREF: seg000:0000064F HACK_PAGE
三、攻击www.whitehouse.gov 模块
创建 socket 连接到
www.whitehouse.gov 80 端口发送 100K 字节数据：
CODEREF: seg000:000008AD WHITEHOUSE_SOCKET_SETUP
首先，它会创建一个 socket 并连接到 198.137.240.91 (www.whitehouse.gov/www1.whitehouse.gov) 80 端口，
CODEREF: seg000:0000092F WHITEHOUSE_SOCKET_SEND
如果连接成功，它会创建一个循环：发送18000h 单字节send()'s 到该站点
CODEREF: seg000:00000972 WHITEHOUSE_SLEEP_LOOP
在 18000h send()'s 后，它会休眠4个半小时，然后重复此攻击。

[ Last edited by 幻影无痕 on 2006-10-5 at 13:51 ]

回复此楼

» 猜你喜欢

08工学调剂已经有16人回复
0703化学调剂，求导师收已经有7人回复
0854AI CV方向招收调剂已经有3人回复
求调剂323材料与化工已经有3人回复
生物学学硕求调剂已经有9人回复
289求调剂已经有8人回复
07化学280分求调剂已经有5人回复
300分，材料，求调剂，英一数二已经有4人回复
【考研调剂】化学专业 281分，一志愿四川大学，诚心求调剂已经有16人回复
0854电子信息求调剂已经有7人回复

1楼 2005-08-21 10:10:36

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

相关版块跳转我要订阅楼主航空母舰的主题更新

返回列表

最具人气热帖推荐 [查看全部]		作者	回/看	最后发表

[考研] 调剂 +4	13853210211 2026-03-24	4/200	2026-03-24 19:44 by ms629
[考研] 0854 考研调剂招生了！AI 方向 +5	pk3725069 2026-03-19	17/850	2026-03-24 17:30 by zhouxuan..
[考研] 资源与环境调剂申请(333分) +7	holy J 2026-03-21	7/350	2026-03-24 17:24 by xiaohai104
[考研] 292求调剂 +4	鹅鹅鹅额额额额� 2026-03-24	4/200	2026-03-24 16:41 by peike
[考研] 277分求调剂，跨调材料 +3	考研调剂lxh 2026-03-24	3/150	2026-03-24 13:52 by JourneyLucky
[考研] 284求调剂 +10	Zhao anqi 2026-03-22	10/500	2026-03-24 00:08 by Equinoxhua
[考研] 求材料，环境专业调剂 +3	18567500178 2026-03-18	3/150	2026-03-23 23:50 by 热情沙漠
[考研] 材料专硕英一数二306 +8	z1z2z3879 2026-03-18	8/400	2026-03-23 20:49 by baobaoye
[考研] 一志愿上海交大生物与医药专硕324分，求调剂 +5	jiajunX 2026-03-22	5/250	2026-03-23 18:07 by YMU施老师
[考研] 263求调剂 +6	yqdszhdap－ 2026-03-22	9/450	2026-03-23 12:57 by yqdszhdap－
[考研] 石河子大学（211、双一流）硕博研究生长期招生公告 +3	李子目 2026-03-22	3/150	2026-03-22 21:01 by 怎么释怀
[考研] 材料与化工085600，总分304，本科有两篇sci参与，求调剂 +4	幸运的酱酱 2026-03-22	5/250	2026-03-22 20:15 by edmund7
[考研] 考研调剂 +4	来好运来来来 2026-03-21	4/200	2026-03-22 12:15 by 星空星月
[考研] 354求调剂 +7	Tyoumou 2026-03-18	10/500	2026-03-22 11:11 by 人来盛
[考研] 一志愿华中科技大学071000，求调剂 +4	沿岸有贝壳6 2026-03-21	4/200	2026-03-22 07:21 by ilovexiaobin
[考研] 求调剂 +4	要好好无聊 2026-03-21	4/200	2026-03-21 18:57 by 学员8dgXkO
[考研] 求调剂 +3	白QF 2026-03-21	3/150	2026-03-21 13:12 by zhukairuo
[考研] 华东师范大学-071000生物学-293分-求调剂 +3	研究生何瑶明 2026-03-18	3/150	2026-03-21 01:30 by JourneyLucky
[考研] 一志愿南京航空航天大学大学，080500材料科学与工程学硕 +5	@taotao 2026-03-20	5/250	2026-03-20 20:16 by JourneyLucky
[考研] 材料学硕318求调剂 +5	February_Feb 2026-03-19	5/250	2026-03-19 23:51 by 23Postgrad