于防范IIS红色蠕虫病毒CodeRed的紧急通知

CERNET各地区网络中心、 省节点网络中心和各联网单位网络中心:

  自7月中旬以来,IIS红色蠕虫病毒Code Red在互联网上大规模泛滥, 8月初进入了第二个高峰期,近日已在一些CERNET联网单位发现这种病毒,并且危害严重。目前正值全国高校网络招生的关键时期,为了确保中国教育和科研计算机网CERNET的安全可靠运行,提高抗攻击能力,特对全网的各级网络运行管理中心发出此紧急通知。      

  1、各级网络中心和联网单位网络中心领导必须高度重视抵抗本次病毒工作,迅速组织网络运行管理人员, 密切监视网络运行状态,一旦发现此类病毒,立即报告CERNET国家网络中心紧急响应组织CCERT,并根据CCERT要求的处理程序,迅速采取处理措施。      

  2、红色蠕虫病毒利用微软web服务器IIS 4.0或5.0中index服务的安全缺陷,攻破目的机器,并通过自动扫描感染方式传播蠕虫。由于很多Windows NT系统和Windows 2000系统都缺省提供Web服务,因此该蠕虫的传播速度极快,大大地加重网络的通信负担,常常造成网络瘫痪。      

该病毒发作的典型现象是:      
(1) 网络上发现大量字节长度很小的HTTP数据包;
(2) 网络性能急剧下降,路由器、交换机等网络设备负载加重,甚至崩溃;
(3) Web Server上的访问日志出现大量类似如下的HTTP请求:      
"GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858 %ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u000 3%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0"

  3、红色蠕虫病毒影响以下的计算机系统:安装有IIS 4.0或者IIS 5.0的Microsoft Windows NT 4.0、Windows 2000;Cisco Call Manager, Unity Server, uOne, ICS7750, Building Broadband Service Manager;没有打过补丁的Cisco 600 series DSL路由器。      

  4、各级网络中心需要采取以下措施:  
    
(1)采用监听工具及时发现被红色蠕虫病毒感染的主机系统。   
如发现红色蠕虫病毒感染,立即向CCERT报告被感染的主机地址、Web访问日志及其相关信息。      
(2)关闭不必要的Web服务器80端口,以避免红色蠕虫病毒感染进一步扩大。      
(3)请有可能被红色蠕虫病毒感染的主机系统立即采取以下两种安全防范措施之一:     

  方法一:
  从微软的网站下载打补丁软件,地址为:      
  http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
或者从CCERT的网站下载打补丁软件,地址为:      
  对Windows NT:ftp://ftp.ccert.edu.cn/pub/CHSQ300972i.exe
  对Win2000:ftp://ftp.ccert.edu.cn/pub/Q300972_W2k_SP3_x86_cn.exe   

  方法二:
  按以下步骤操作:管理工具IIS管理器/主目录(活页)/配置(按钮)/把应用程序映射的.idq删除, 或者把%windowsdir%\system32中的idq.dll备份后删除。      

  5、CERNET紧急响应组CCERT的联系办法如下:      
   电话: 010-62784301
   URL: www.ccert.edu.cn
   Email: Webmaster@ccert.edu.cn         

中国教育和科研计算机网CERNET

网络中心

2001年8月6日