词条 | 红色代码III病毒 |
释义 | 红色代码III病毒是给全球的企业和个人造成了26.2亿美元经济损失的“红色代码”病毒的改进版本。它攻击安装了IIS服务程序的win2000系统的计算机,本身无文件形式,只存在于内存中,同时分成数百份线程,在局域网内疯狂传播,瞬间导致被感染的网络瘫痪。网络用户只能选用有内存监控的反病毒产品,将全网的内存监控同时打开并进行全网统一杀毒才能清除该病毒。 病毒档案警惕程度:★★★★ 发作时间:随机 病毒类型:内存病毒 传播方式:内存 感染对象:内存 发现与清除此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒,可以按照下面所说的方法手工清除“红色代码III(Junk.Codered.f)”病毒。 1. 病毒会在内存中建立300个到600个病毒线程,病毒在内存中疯狂传染时会导致系统资源被100%占用,计算机运行非常慢。 2. 如果月份大于等于10月时,病毒会强行重新启动计算机。 3. 病毒运行时会将系统目录下的CMD.EXE文件分别复制到系统根目录\\inetpub\\scripts和系统根目录\\progra~1\\common~1\\system\\MSADC目录下,并取名为root.exe。然后从病毒体内释放出一个木马程序,复制到系统根目录下,并取名为explorer.exe。 4. 病毒会修改相应的注册表项。 用户如果发现上述情况该很有可能是中了“红色代码III(Junk.Codered.f)”病毒,应该立刻拔掉网线,删除上述文件,给系统打上补丁,补丁应该是Server pack 2以上版本。 ===================================================================================== 编者:虽然本文介绍了手动清除“红色代码”蠕虫的方法,但对于大多数普通用户来说,我们认为采用微软提供的解决方法或是选用专业的反病毒厂商的相关安全产品清除该蠕虫,是最安全和便捷的方法。 背景资料追踪“红色代码” 同样是有意针对中文 Windosws 操作系统的攻击性病毒,CodeRed III 与 CodeRed II 都将对简体中文/繁体中文 Windows 系统进行双倍的攻击。本文为您讲述如何手动“红色代码III”蠕虫。 微软已经发布了一个安全公告MS01-033,同时提供了针对NT和2000系统的补丁:Windows NT 4.0、Windows 2000 Professional,Server and Advanced Server。 需要说明的一点是,我们在这里所介绍的清除方法对II、III型都有效,手动清除方法如下: 如果不幸中了此病毒,应该立即关闭所有 80 端口的 web 服务,避免病毒继续传播。 1.清除的 web 服务器中的两个后门文件:/msadc/root.exe , /scripts/root.exe 这两个文件的物理地址一般情况下默认为: C:\\inetpub\\scripts\\root.exe C:\\progra~1\\common~1\\system\\MSADC\\root.exe 2.清除本地硬盘中:c:\\explorer.exe 和 d:\\explorer.exe 先要杀掉进程explorer.exe,打开任务管理器,选择进程。检查是否进程中有两个“exploer.exe”。如果您找到两个“exploer.exe”,说明木马已经在您的机器上运行了,在菜单中选择 查看 -> 选定列 -> 线程计数,按确定。这时您会发现显示框中增加了新的一列“线程数”。检查两个“exploer.exe”, 显示线程数为“1”的“exploer.exe”就是木马程序。您应当结束这个进程。 之后,您就可以删除掉C:\\exploer.exe和D:\\exploer.exe了,这两个程序都设置了隐藏和只读属性。您需要设置“资源管理器”的查看->选项->隐藏文件为“显示所有文件”才能看到它们。 3.清除病毒在注册表中添加的项目: HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\ 删除键:SFCDisable 键值为:0FFFFFF9Dh 或将键值改为 0 ( 设置为0FFFFFF9Dh后,将在登陆时禁止系统文件检查 ) HKLM\\SYSTEM\\CurrentControlSet\\Services\\W3SVC\\Parameters\\Virtual Roots\\ 键:Scripts 键值为:,,217 改为 ,,201 ( 这个键默认就是被打开的,不过如果没有特别需要的话,可以关闭 ) ( 因为很多漏洞都是利用了这个虚拟目录下的文件攻击的。) HKLM\\SYSTEM\\CurrentControlSet\\Services\\W3SVC\\Parameters\\Virtual Roots\\ 键:msadc 键值为:,,217 改为 ,,201 ( 同Scripts ) HKLM\\SYSTEM\\CurrentControlSet\\Services\\W3SVC\\Parameters\\Virtual Roots\\ 删除键:c 键值为:c:\\,,217 ( 它将本地硬盘中的 C 盘在 web 中共享为 c ) HKLM\\SYSTEM\\CurrentControlSet\\Services\\W3SVC\\Parameters\\Virtual Roots\\ 删除键:d 键值为:d:\\,,217 ( 它将本地硬盘中的 D 盘在 web 中共享为 d ) 如果不删除注册表中的以上键,中毒服务器的本地硬盘 C、D 将被完全控制。 4.重新启动系统,以确保 CodeRed.v3 彻底清除。 注意:如果要确保清除病毒后不再次被感染,请安装微软发布的补丁。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。