蓝色代码

“红色代码”病毒对计算机用户造成的损害尚未停止，一种名为Worm.IIS.CodeBlue（即“蓝色代码”）的新型恶性网络蠕虫病毒2001年9月5日开始在我国计算机用户中出现。

据介绍，“蓝色代码”是一种专门攻击WINDOWS2000系统的恶性网络蠕虫病毒。2001年9月5日国家计算机病毒应急处理中心成员单位、北京江民公司接到告急用户后，连夜编写出了新的升级杀毒库，并立即将该病毒上报“国家计算机病毒应急处理中心”。

据权威反病毒专家介绍说，该病毒比“红色代码II”有更强大的攻击性，计算机一旦感染该病毒，将大量占用系统内存，导致系统运行速度下降直至系统瘫痪。

专家告诫广大互联网用户，尽快升级防病毒软件，如最新版反病毒软件Kaspersky（卡巴斯基），这样可有效的防范该病毒的侵犯。

目前，有关反病毒专家小组正在进一步监测该病毒的发展趋向。

病毒特性蓝色代码”蠕虫病毒感染Windows NT和Windows 2000系统服务器，由于其攻击微软inetinfo.exeIIS服务程序的IIS漏洞(请见 IIS Unicode漏洞分析 ），并植入名为SvcHost.EXE的黑客程序运行，该蠕虫病毒将在服务器内存中不断地生成新的线程，最终导致系统运行缓慢，甚至瘫痪；如果操作系统是Windows 2000会将该系统的 IIS Admin 服务停止运行，导致无法对外提供Web服务，服务器彻底瘫痪。

蠕虫运行会生成“C:d.vbs”脚本程序，该脚本程序运行时将停止所有“.ida,.idq，.printer”的系统服务；同时尝试下载“httpext.dll”到“C:”以及“C:inetpubscriptshttpext.dll”。

“红色代码”相比， 红色代码主要攻击IIS中的索引服务，而“蓝色代码”针对IIS自身的Unicode漏洞，攻击范围更广，传染性更强，黑客程序运行后将全面控制被感染的系统，同时修改注册表中有关IIS的设置，并在开机时启动程序SOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN的注册表项，添加了自动运行黑客程序SvcHost.EXE的功能，重新启动时黑客程序将自动运行，因此造成的破坏性将比红色代码更加可怕。

“蓝色代码”同时还不断访问211.99.196.135绿盟科技的网站，期望象红色代码一样，对绿盟科技的网站进行Dos攻击。