9月5日下午,北京某单位发现服务器异常,通过公安部通知瑞星公司研发部,瑞星公司技术人员马上赶赴现场提取病毒样本,连夜分析解剖并在6日凌晨3:00提供紧急升级程序,由于该病毒采用内存到内存的传播机理,类似“红色代码”,并且在病毒体内包含“CodeBlue”字样,定名为“蓝色代码”,这是全球首次截获该病毒。
“蓝色代码”病毒感染Windows NT和Windows 2000系统服务器,即使没有安装ISS的服务器也同样感染,并植入名为SVCHost的黑客程序运行,该病毒病毒使得服务器被重复感染,最终导致系统运行缓慢,甚至瘫痪。
与“红色代码”相比,“蓝色代码”攻击范围更广,传染性更强,黑客程序运行后全面掌握被感染系统的控制权,同时修改注册表中有关ISS的设置,并在开机时启程序的注册表项,添加了自动运行黑客程序的功能,重新启动时黑客程序将自动运行,这比“红色代码”病毒更为狡滑。
瑞星公司紧急升级程序已能够实现该病毒的查杀。据国内著名反病毒及信息安全专家、瑞星公司总经理刘旭介绍:“蓝色代码”病毒制作显然是受到了“红色代码”病毒的启发,采用类似的传播机理,“红色代码”利用的是ISS服务的漏洞,而“蓝色代码”利用的是微软inetinfo.exe程序的漏洞,由于inetinfo.exe程序在WinNT/2000操作系统中无处不在,其传染能力和破坏能力比“红色代码”要大得多,驻留的黑客程序严重威胁信息安全,如果不严加防范,很可能导致更大范围乃至全球的危机。
|