如果主机有UNICODE漏洞，你可以通过此漏洞看见他的c:\inetpub\scripts下有root.exe的文件，这台主机就有可能中了红色代码病毒。
连日来，天网技术支持部收到不少反映遭受网络攻击的函件。安装了天网个人版的用户称天网拦截了许多不知名的TCP连接，其拦截日志类似如下：

　　[01-8-6 14：00：00]接收到XX.XX.XX.XX的TCP数据包

　　本机端口：80对方端口：XXXX TCP标志：S


　　该包被拦截……

　　分析防火墙拦截日志可以发现，这都是由外部机器高端口(大于1024)发起的对本机80端口的TCP连接请求(SYN数据包)。其中来源IP和端口号都是不定的。这和DoS攻击中的SYN Flood洪水攻击非常相像。

　　然而在对这些来源IP扫描之后可以发现，大部分的IP主机都是服务器，这对于SYN Flood攻击而言，并不是一个正常的现象。

　　经过我们的进一步探测和研究发现，防火墙出现的这些拦截日志和近日流行的“代号红色”(code red)病毒有关系。

　　“代号红色”病毒是利用“缓冲区溢出”的漏洞入侵安装了IIS4.0或IIS5.0的服务器，并对它进行控制和破坏的。它的传染机制是利用所控制的服务器进行网络探测，一但发现有提供80端口WEB服务的服务器，就尝试利用“缓冲区溢出”的漏洞进行传染。正因为如此，当有多台服务器都被传染了“代号红色”病毒之后，它们就会不停的对周边主机发出TCP的SYN数据包；当被病毒控制的服务器越来越多的时候，这样的情况就会越严重，一大堆服务器发出的SYN包可以等同于对网络进行着DoS攻击。这对于网络而言，不可以说是没有影响的。

　　包括天网防火墙在内部分优秀的防火墙，可以有效的防御网络的DoS攻击，以上的拦截日志可以很清楚的表明这一点。因为“代号红色”只传染装有IIS服务的机器，所以个人用户并不需要担心会被它传染；而对于它所发出的SYN数据包，使用防火墙对这些数据包做拦截已经可以很好的对个人用户做防护了。对于服务提供者，检测装有IIS的机器是否被“代号红色”病毒入侵的方法可以在服务器上安装天网的个人版防火墙。利用天网个人版防火墙的应用程序规则，当“代号红色”病毒在作网络探测的时候，个人版防火墙会弹出应用程序访问对话框；如果发现有IIS的程序访问其他主机的80端口，那么就很可疑了。

　　希望大家都不要大意，及时完善自己网络安全环境！随着“代号红色”的变种“代号红色II”开始也能感染中文操作系统，国内有相当的计算机受“代号红色”的感染。

会感染linux吗？