以下資料是在瀏覽網站時剪貼下來的，紅色代碼＝紅色警戒


盡管“紅色代碼”病毒的二次大爆發給社會造成了巨大的損失，但一位仔細檢查過
這種病毒的安全專家表示，要發現它的作者非常不容易。

eEye數字安全公司的首席防黑官員邁弗雷特指出，顯然，寫“紅色代碼”病毒的人
非常聰明。除非他自首或者大肆宣揚其所作所為，他不會被輕易地發現。

邁弗雷特表示，目前還不清楚這一病毒的作者和它的傳播者是否是同一個人。他
還指出，盡管就這種病毒的討論已經鋪天蓋地，但仍然有無數的易受其攻擊的伺
服器沒有安裝補丁程式，這就為其他蠕虫病毒的攻擊打開了方便之門，這些病毒
也許會比“紅色代碼”更厲害。

邁弗雷特說，他的研究小組在7月19日之前發現的“紅色代碼”病毒使用了總是
指向同一目標的“隨機”IP位址生成器，這意味著所有的病毒拷貝只能攻擊同屬一
個IP序列的目標。而后來的“紅色代碼”病毒則使用了更高級的IP位址生成器，
擴大了攻擊的范圍。

“紅色代碼”會在每個月的第20日停止感染新的機器，而開始攻擊白宮的互聯網
伺服器使用的一個IP位址，然后在第28天停止對白宮的攻擊，進入“休眠期”。
邁弗雷特指出，受感染的伺服器的內部時鐘被“紅色代碼”病毒所利用，這也許是
病毒的原作者也沒有預料到的。

由于這一病毒只攻擊白宮的互聯網伺服器的IP位址，會讓人聯想到“紅色代碼”
是由一些對美國有不滿情緒的國家的黑客發動的反美活動的一部分。但有安全專
家表示，只透過對病毒本身的考察不能得出這樣的結論。邁弗雷特表示，不僅“紅
色代碼”病毒的作者沒有留下蛛絲馬跡，就連“紅色代碼”病毒本身在被它感染的
伺服器上也不會留置下什么“痕跡”。與其他的蠕虫型病毒不同，“紅色代碼”不會
將自己存儲到伺服器的硬碟上，而只是駐留在內存中。

“紅色代碼”病毒會檢查目標計算機上是否存在c:\notworm文件，如果發現了該文
件，就不會再進行傳播，但至今還沒有發現“紅色代碼”病毒會向硬碟上寫這樣一
個文件。


德國聯邦資訊技術安全辦公室8月7日說，荷蘭的黑客們宣稱是他們製造了“紅
色代碼II”病毒。

據法新社報道，荷蘭的黑客組織29a在新聞組討論中聲稱是他們開始傳播這種蠕
虫病毒的。但德國聯邦資訊技術安全辦公室的專家福蘭克-費爾斯曼稱，目前尚
無証據証明這些黑客就是該病毒的作者。

費爾斯曼強調︰“這種在互聯網上像滾雪球一樣的病毒傳播模式是很難讓人找出
病毒的真正作者的。”

費爾斯曼還說，盡管“紅色代碼I”在受感染的網頁上留下“中國製造”（Hacked by
Chinese）字樣，但現下看來，該病毒並非中國製造。

“紅色代碼I”是在上個星期開始傳播的，利用IIS伺服器的弱點進入微軟視窗NT
和2000作業系統。微軟公司現下已經提供了解除該系統弱點的補丁。

贊助商連結

來自29a的消息︰
　　29a病毒組織並不承認與CodeRed及任何版本有關系，並稱其成員也無荷蘭人，故兩名荷蘭黑客可能是在撒謊。


原文︰
29A related to Code Red?
With this note 29A group communicates publicly that we aren't related in any way with the code or distribution of any version of the worm known under "Code Red".
We have heard that 2 hackers from Netherlands announced they have coded Code Red and they were 29A members. Everybody that know a bit about 29A will know that none 29A member is from that country.
If anyone wants to find Code Red coder he will have to do it out from 29A.


29a是一個較為出名的病毒組織，Benny、VirusBuster、Super等多名成員。該組織定期發行病毒雜志，到目前為止已經發行了5期，不久將發行第6期雜志。其雜志一般介紹病毒的原理、源代碼及二進製代碼，它也收錄非本組織成員的病毒，其中較著名的有Win32.Funlove、Win32.kriz等病毒。該組織成員編寫的較著名的病毒有︰W32.Winux、W2k.Stream。


　　該組織的成員近日承認CodeRed2病毒是他們編寫並傳播的。反病毒專家剖析CodeRed2代碼時，發現有29a的標志，有理由相信是該組織所為。

早些時候，中國也遭受到了“紅色代碼”病毒的慘重打擊。因此，有安全專家表示，目前並沒有明確的迹象表明該病毒來自中國或者說該病毒的作者是中國人。


8月26日，在美國白宮委員會上的陳述中，美國總審計局（GAO）下屬科技與工程中心的主要科技研究人員Keith Rhodes表示，他確信，“紅色代碼”1號病毒出自中國廣東的佛山大學。Keith Rhodes的證詞後來被發佈在GAO的官方站點上，但是並沒有立即引起回應。


但是，shield.org站點的入侵記錄卻清楚地表明，“紅色代碼”病毒在入侵廣東佛山大學某伺服器之前就已經攻擊過了美國和其他許多國家的伺服器。該記錄表明了在Eeye數位安全公司發現“紅色代碼1”病毒5天前，也就是說在7月12日，該病毒就已經感染了來自美國加利福尼亞州和德克薩斯州、德國、墨西哥和巴西的十幾台電腦。而中國佛山大學的電腦通過80埠和其他伺服器發生和該病毒有關的通訊則是在7月13日。


中國佛山大學的那台IP地址爲202.192.168.145的伺服器，很顯然在兩天之後就停止感染其他電腦系統。因爲“紅色代碼1”只是駐留在常駐記憶體當中，重新啓動系統就可殺死該病毒。


8月31日，Eeye安全公司使用“紅色代碼”掃描器的掃描結果發現，佛山大學的系統如今已經經過修補，不易再遭受象“紅色代碼”病毒等利用IIS安全漏洞進行的類似攻擊。美國newsbytes網站的記者試圖聯繫該系統的操作員，但是沒能聯繫上。


“紅色代碼”病毒把感染了病毒的IIS伺服器上的網頁更換成下面一行紅字：“此頁面被中國黑客所黑。歡迎光臨http://www.worm.com網站”︴/url]]"Hacked by Chinese. Welcome to [url]http://www.worm.com."）。該病毒還通過掃描遠端電腦的80埠，向因特網上未安裝安全補丁的IIS伺服器大肆傳播。


Dshield.org網路的操作員Johannes Ullrich表示，追蹤最初被感染的電腦是非常困難的，因爲“紅色代碼”病毒並沒有在被感染電腦中留下任何文件記錄。他說：“我想因爲前不久發生了中美之間的網路大戰，現在很多人把最近出現的很多問題都歸咎於中國似乎已經成了習慣，（而不是從根本的證據出發來考慮）。”


Ullrich還表示，“紅色代碼”1號病毒很可能出自參加7月13日美國拉斯維加斯年度黑客大會的某黑客之手。


如果真是那樣，那麽屢屢指責他國的美國或許才應該是“紅色代碼”事件的罪魁禍首