Trojan.Win32.VirtualRoot & IIS.I-Worm.Body 
（RED CODE II）专页

一、病毒基本特性

二、病毒命名对照

三、病毒介绍

这是一个蠕虫木马双特型病毒。

实际上和第一个RED CODE 蠕虫病毒相比，这并不是一个简单的变种，与RED CODE 相比，这个新蠕虫是极度危险的，因为它不是简单的修改主页，而是通过同样的IIS漏洞实现对一个木马文件的上载和运行。但它们使用的攻击方式是基本一样的，所以这样我们也可以用修补预防RED CODE 的方式来预防RED CODE II（参见本站联接）。但是“RED CODE II” 和 RED CODE I来比较，我们可以感觉到这是对中国黑客编写RED CODE的一个报复性产品，而且杀伤力大的多。

这个分析被分成3 部分： 

1. 感染
2. 传播
3. 特洛伊木马程序

RED CODE II的攻击原理和最初的RED CODE 一样，所以修复方法和RED CODE I是一样的
微软公司安全补丁下载页面： 

Http://www.Microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-033.asp 

用户自己修改IIS的配置避免感染的方法我们在 IIS-Worm.Body (RED CODE) 中已经提供了配图说明。

如果想检查你的机器是否被感染，你可以看看下列文件是不是存在：
c:\explorer.exe 或 d:\explorer.exe

你IIS的script 文件夹和文件夹msadc中是否有ROOT.EXE这个文件。
如果有的话则你很可能是已经被感染了。

注意：以前曾有一个叫做 sadmin unicode 的蠕虫，也会吧CMD.EXE文件改名为root.exe ，所以不能只凭是否有ROOT.EXE存在来判断是否已经中毒。

1、感染
================

第一次感染： 首先这个蠕虫会给自己建立一个环境，之后取得本地IP，用来分析子网掩码(将用来传播)，并且确认当前系统没有被重复感染。之后判断当前操作系统的语言，是繁体中文还是简体中文。之后判断是否已经被RED CODE感染，如果是的话，这个进程将转入永远休眠。

之后RED CODE II根据操作系统来增加线程，非中文系统为300条。如果是中文系统那么将打开600条线程。此时它把大量的繁殖线程转入后台，大规模的复制自己。（这些线程被用于向其他IP地址发送GET .IDA漏洞请求，参见 IIS-Worm.Body (RED CODE) 介绍）之后这个它将在系统中安装一个特洛伊木马。

RED CODE II的潜伏期，如果是非中文操作系统他会潜伏1天，对于中文系统它会潜伏2天。

2、转播
================

用来进一步传播这个蠕虫，这是它会设置一个本地 IP_STORAGE 变量用来储存本地IP，这个变量用于确定机器不会被重复感染。之后获取系统时间，如果当前时间在2002年后，或者月份在10月以后，那么这个蠕虫将重起计算机，这样就将转播可能限制在3个月内。之后蠕虫开始按一定规律生成目标主机IP地址并试图连接一个远程主机，如果能建立连接那么立刻去试图感染对方主机。

3、特洛伊程序
================

蠕虫会有计划的把cmd.exe 以root.exe的名字复制到msadc 和scripts 目录下，更名为root.exe,成为了一个可怕的后门。（cmd.exe是黑客攻击NT时梦寐以求的东西，好比UNIX SHELL）。并且将蠕虫中包含的一段2进制代码拆离成件名为explore.exe的木马到本地的驱动器(c:\和d:\)。

这个后门，可能会通过修改注册表，把你的c:\，d:\变成iis的虚拟目录。以上两点都是非常可怕的后门。

四、清除

请用病毒观察独家提供的查杀工具RedCode 2 KILLER 检测清除。

可以 清除redcode II，修复redcode II造成的安全隐患，并为系统提供一个简单的打补丁，打补丁后无论是redcode还是redcode II,以及其他利用这个漏洞的蠕虫都不能感染你的系统。

为防止不法之徒篡改本程序，如果您是在其他站点下在的本工具，请用本站公钥viusview.asc ,通过以下文件 killrc2.exe.sig 对程序验签。

参考资料：

在这里你可以读到更全面的反汇编分析
http://www.Eeye.com/html/advisories/coderedII.zip