CodeRedII真的一去不复返了吗？

作者：tombkeeper@126.com

  今天看到一则消息：“安全专家表示，肆虐互联网两个月的红色代码II已于九月三

十日夜半时刻步入衰亡期，从此将销声匿迹。”底气之所以这么足，不是因为世界上所

有的IIS都打了补丁，而是由CodeRedII本身决定的。原始版本的CodeRedII设定了一个

自杀条件：系统月份大于等于十月或年份大于等于2002年。那么如果有人稍微改一下呢？

何况可以改的还不仅限于时间。

############################################################################

#警告！以下提到的技术仅限于学习研究，请勿将改动后的CodeRedII释放到网络中。 #

#本文作者也不提供CodeRedII的原始版本及任何变种版本。            #

#作者假设本文读者已读过CodeRedII的其它相关文章，有关细节不再重复。     #

############################################################################

1、在16进制地址0x00000308和0x00000309的"D207"（十进制数：2002）决定年份。

  改为"DA07"（十进制数：2015）。

2、在16进制地址0x00000317的"0A"（十进制数：10）决定月份。

  改为"0D"（十进制数：13）:-D。

3、在16进制地址0x000001FD和0x000001FE的"0404"代表系统语言版本：中国台湾。

  可以改为"1104"（日本）。

4、在16进制地址0x00000205和0x00000206的"0408"代表系统语言版本：中国大陆。

  可以改为"6008"（印度）。

5、在16进制地址0x000007C1到0x000007E0之间为地址掩码表，如果全部用"F"填充，

  会使目标地址的选择完全随机。

6、在16进制地址0x000007F3的"7F"（十进制数：127）和0x000007F8的"E0"（十进

  制数：224）以这两个数字打头的IP地址永远不会受攻击。（127打头的是环回地

  址，当然要避免；224打头的是美国南加利福尼亚大学，为什么要设定这个数字

  呢？难道和程序的作者有什么关系？纯属瞎猜。）可以不改，也可改为我国常见

  的"CA"（十进制数：202）和"3D"（十进制数：61）。

7、在16进制地址0x00000292和0x00000293的"2C01"（十进制数：300）决定程序初

  始线程，改为"0100"（十进制数：1）。

8、在16进制地址0x0000028C和0x0000028D的"2C01"（十进制数：300）决定在特定

  语言版本下增加的线程，改为"E703"（十进制数：999）。

  假设我们改了步骤1、2、3、4、7、8，那么就会得到这样一个CodeRedII：永远

不会自杀，直到2015年，或者哪一年的13月。一般情况下只会开一个线程，如果遇到

印度或者日本的主机就会开1000个线程，哈哈哈哈。

  其实可以改动的东西还有很多，这里只是改了一些数据类型的代码，如果结合改

动可执行码，效果会更明显，当然难度也大一些。