请输入您要查询的百科知识:

 

词条 红色代码II(CodeRedII)病毒
释义

§ 病毒名称:

红色代码II(CodeRedII)

§ 别名

:CODERED.C, CODERED, HBC, W32/CodeRed.C, CodeRedIII, CodeRed III, Code Red II

§ 病毒特点:

该病毒利用IIS的缓冲区溢出漏洞,通过TCP的80端口传播,并且该病毒变种在感染系统后会释放出黑客程序。它的技术特性如下:

一、攻击的目标系统:

1、安装Indexing services 和IIS 4.0 或IIS 5.0的Windows 2000系统

2、安装Index Server 2.0和IIS 4.0 或IIS 5.0的Microsoft Windows NT 4.0系统

二、如何判定遭受“红色代码II”病毒攻击

1、在WINNT\\SYSTEM32\\LOGFILES\\W3SVC1目录下的日志文件中是否含有以下内容

GET,/default.ida,

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a,

如果发现这些内容,那么该系统已经遭受“红色代码II”的攻击。

2、使用命令netstat –a

如果在1025以上端口出现很多SYN-SENT连接请求,或者1025号以上的大量端口处于Listening状态,那么该系统已经遭受“红色代码II”病毒的感染。

3、如果在以下目录中存在Root.exe文件,说明系统已被感染。

C:\\inetpub\\Scripts\\Root.exe

D:\\inetpub\\Scripts\\Root.exe

C:\\progra~1\\Common~1\\System\\MSADC\\Root.exe

D:\\Progra~1\\Common~1\\System\\MSADC\\Root.exe

同时,“红色代码II”还会释放出以下两个文件C:\\Explorer.exe or D:\\Explorer.exe。这两个文件都是木马程序。

4、由于遭受“红色代码II”病毒的攻击,NT服务器中的Web服务和Ftp服务会异常中止。

三、解决方案

1、请到以下微软站点下载补丁程序:

http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

2、断掉网络重新启动系统,防止病毒通过网络再次感染。

3、安装微软补丁程序。

4、删除以下病毒释放的木马程序

C:\\inetpub\\Scripts\\Root.exe

D:\\inetpub\\Scripts\\Root.exe

C:\\progra~1\\Common~1\\System\\MSADC\\Root.exe

D:\\Progra~1\\Common~1\\System\\MSADC\\Root.exe

使用以下命令删除以下文件:

ATTRIB C:\\EXPLORER.EXE -H -A -R

DEL C:\\EXPLORER.EXE

ATTRIB D:\\EXPLORER.EXE -H -A -R

DEL D:\\EXPLORER.EXE

5、将以下键值改为0

HKLM\\SOFTWARE\\Microsoft\\WindowsNT\\Current Version\\WinL

随便看

 

百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/20 4:01:38