红色代码III（Junk.Codered.f）病毒档案

知识库编号： RSV0512297

内容分类： 蠕虫病毒

关键词： Codered;红色代码

适用操作系统：Windows 操作系统

适用操作系统补丁版本：全部补丁适用

红色代码III（Junk.Codered.f）病毒档案及解决方案。

攻击安装IIS的win2K系统的红色代码III（Junk.Codered.f）病毒档案

病毒评估

警惕程度：★★★★

发作时间：随机

病毒类型：内存病毒

传播方式：内存

感染对象：内存

病毒介绍

该病毒于2003年3月13日由瑞星公司国内率先截获，它是给全球的企业和个人造成了26.2亿美元经济损失的“红色代码”病毒的改进版本！它攻击安装了IIS服务程序的win2000系统的计算机，本身无文件形式，只存在于内存中，同时分成数百份线程，在局域网内疯狂传播，瞬间导致被感染的网络瘫痪。网络用户只能选用有内存监控的反病毒产品，将全网的内存监控同时打开并进行全网统一杀毒才能清除该病毒。

病毒的发现与清除

此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒，可以按照下面所说的方法手工清除“红色代码III（Junk.Codered.f）”病毒。

1. 病毒会在内存中建立300个到600个病毒线程，病毒在内存中疯狂传染时会导致系统资源被100%占用，计算机运行非常慢。

2. 如果月份大于等于10月时，病毒会强行重新启动计算机。

3. 病毒运行时会将系统目录下的CMD.EXE文件分别复制到系统根目录\\inetpub\\scripts和系统根目录\\progra~1\\common~1\\system\\MSADC目录下，并取名为root.exe。然后从病毒体内释放出一个木马程序，复制到系统根目录下，并取名为explorer.exe。

4. 病毒会修改相应的注册表项。

用户如果发现上述情况该很有可能是中了“红色代码III（Junk.Codered.f）”病毒，应该立刻拔掉网线，删除上述文件，给系统打上补丁，补丁应该是Server pack 2以上版本。

解决方案

瑞星杀毒软件15.26及以上的版本可以自动截获并清除此病毒。对于有局域网的企事业单位，最好采用瑞星杀毒软件网络版进行全网监控与全网杀毒。

更多有关“红色代码”病毒及其变种的具体查杀方法，请参阅瑞星知识库文章RSV0512298 红色代码（CodeRed）系列病毒解决方案