病毒名稱:
紅色代碼II(CodeRedII)
別名:CODERED.C, CODERED, HBC, W32/CodeRed.C, CodeRedIII, CodeRed III, Code Red II
病毒特點:
該病毒利用IIS的緩衝區溢出漏洞,通過TCP的80連線埠傳播,並且該病毒變種在感染系統後會釋放出黑客程式。它的技術特性如下:
一、攻擊的目標系統:
1、安裝Indexing services 和IIS 4.0 或IIS 5.0的Windows 2000系統
2、安裝Index Server 2.0和IIS 4.0 或IIS 5.0的Microsoft Windows NT 4.0系統
二、如何判定遭受“紅色代碼II”病毒攻擊
1、在WINNT\SYSTEM32\LOGFILES\W3SVC1目錄下的日誌檔案中是否含有以下內容
GET,/default.ida,
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a,
如果發現這些內容,那么該系統已經遭受“紅色代碼II”的攻擊。
2、使用命令netstat –a
如果在1025以上連線埠出現很多SYN-SENT連線請求,或者1025號以上的大量連線埠處於Listening狀態,那么該系統已經遭受“紅色代碼II”病毒的感染。
3、如果在以下目錄中存在Root.exe檔案,說明系統已被感染。
C:\inetpub\Scripts\Root.exe
D:\inetpub\Scripts\Root.exe
C:\progra~1\Common~1\System\MSADC\Root.exe
D:\Progra~1\Common~1\System\MSADC\Root.exe
同時,“紅色代碼II”還會釋放出以下兩個檔案C:\Explorer.exe or D:\Explorer.exe。這兩個檔案都是木馬程式。
4、由於遭受“紅色代碼II”病毒的攻擊,NT伺服器中的Web服務和Ftp服務會異常中止。
解決方案
1、請到以下微軟站點下載補丁程序:
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
2、斷掉網路重新啟動系統,防止病毒通過網路再次感染。
3、安裝微軟補丁程式。
4、刪除以下病毒釋放的木馬程式
C:\inetpub\Scripts\Root.exe
D:\inetpub\Scripts\Root.exe
C:\progra~1\Common~1\System\MSADC\Root.exe
D:\Progra~1\Common~1\System\MSADC\Root.exe
使用以下命令刪除以下檔案:
attrib C:\EXPLORER.EXE -H -A -R
DEL C:\EXPLORER.EXE
ATTRIB D:\EXPLORER.EXE -H -A -R
DEL D:\EXPLORER.EXE
5、將以下鍵值改為0
HKLM\SOFTWARE\Microsoft\WindowsNT\Current Version\WinL
