技術 > 紅色代碼ii



目錄 ·No. 1 ·病毒名稱： ·病毒特點： ·解决方案 ·更多結果... No. 1 　　病毒名稱：紅色代碼ii（coderedii） 　　別名：codered.c, codered, hbc, w32/codered.c, coderediii, codered iii, code red ii 　　病毒特點： 該病毒利用iis的緩衝區溢出漏洞，通過tcp的８０端口傳播，並且該病毒變種在感染係統後會釋放出黑客程序。它的技術特性如下： 　　一、攻擊的目標係統： 　　1、安裝indexing services 和iis 4.0 或iis 5.0的windows 2000係統 　　2、安裝index server 2.0和iis 4.0 或iis 5.0的microsoft windows nt 4.0係統 　　二、如何判定遭受“紅色代碼ii”病毒攻擊 　　1、在winntsystem32logfilesw3svc1目錄下的日志文件中是否含有以下內容 　　get，/default.ida, 　　xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 　　xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 　　xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 　　xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a, 　　如果發現這些內容，那麽該係統已經遭受“紅色代碼ii”的攻擊。 　　２、使用命令netstat ╟a 　　如果在１０２５以上端口出現很多syn-sent連接請求，或者１０２５號以上的大量端口處於listening狀態，那麽該係統已經遭受“紅色代碼ii”病毒的感染。 　　３、如果在以下目錄中存在root.exe文件，說明係統已被感染。 　　c:inetpubscripts oot.exe 　　d:inetpubscripts oot.exe 　　c:progra~1common~1systemmsadc oot.exe 　　d:progra~1common~1systemmsadc oot.exe 　　同時，“紅色代碼ii”還會釋放出以下兩個文件c:explorer.exe or d:explorer.exe。這兩個文件都是木馬程序。 　　４、由於遭受“紅色代碼ii”病毒的攻擊，nt服務器中的web服務和ftp服務會異常中止。 　　解决方案 　　１、請到以下微軟站點下載補丁程序： 　　http://www.microsoft.com/technet/security/bulletin/ms01-033.asp 　　２、斷掉網絡重新啓動係統，防止病毒通過網絡再次感染。 　　３、安裝微軟補丁程序。 　　４、刪除以下病毒釋放的木馬程序 　　c:inetpubscripts oot.exe 　　d:inetpubscripts oot.exe 　　c:progra~1common~1systemmsadc oot.exe 　　d:progra~1common~1systemmsadc oot.exe 　　使用以下命令刪除以下文件： 　　attrib c:explorer.exe -h -a -r 　　del c:explorer.exe 　　attrib d:explorer.exe -h -a -r 　　del d:explorer.exe 　　５、將以下鍵值改為０ 　　hklmsoftwaremicrosoftwindowsntcurrent versionwinl 病毒名稱： 　　紅色代碼ii（CodeRedII） 　　別名：CODERED.C, CODERED, HBC, W32/CodeRed.C, CodeRedIII, CodeRed III, Code Red II 病毒特點： 　　該病毒利用IIS的緩衝區溢出漏洞，通過TCP的８０端口傳播，並且該病毒變種在感染係統後會釋放出黑客程序。它的技術特性如下： 　　一、攻擊的目標係統： 　　1、安裝Indexing services 和IIS 4.0 或IIS 5.0的Windows 2000係統 　　2、安裝Index Server 2.0和IIS 4.0 或IIS 5.0的Microsoft Windows NT 4.0係統 　　二、如何判定遭受“紅色代碼ii”病毒攻擊 　　1、在WINNTSYSTEM32LOGFILESW3SVC1目錄下的日志文件中是否含有以下內容 　　GET，/default.ida, 　　XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 　　XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 　　XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 　　XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a, 　　如果發現這些內容，那麽該係統已經遭受“紅色代碼ii”的攻擊。 　　２、使用命令netstart –a 　　如果在１０２５以上端口出現很多SYN-SENT連接請求，或者１０２５號以上的大量端口處於Listening狀態，那麽該係統已經遭受“紅色代碼ii”病毒的感染。 　　３、如果在以下目錄中存在Root.exe文件，說明係統已被感染。 　　C:inetpubScriptsRoot.exe 　　D:inetpubScriptsRoot.exe 　　C:progra~1Common~1SystemMSADCRoot.exe 　　D:Progra~1Common~1SystemMSADCRoot.exe 　　同時，“紅色代碼ii”還會釋放出以下兩個文件C:Explorer.exe or D:Explorer.exe。這兩個文件都是木馬程序。 　　４、由於遭受“紅色代碼ii”病毒的攻擊，NT服務器中的Web服務和Ftp服務會異常中止。 解决方案 　　１、請到以下微軟站點下載補丁程序： 　　http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 　　２、斷掉網絡重新啓動係統，防止病毒通過網絡再次感染。 　　３、安裝微軟補丁程序。 　　４、刪除以下病毒釋放的木馬程序 　　C:inetpubScriptsRoot.exe 　　D:inetpubScriptsRoot.exe 　　C:progra~1Common~1SystemMSADCRoot.exe 　　D:Progra~1Common~1SystemMSADCRoot.exe 　　使用以下命令刪除以下文件： 　　ATTRIB C:EXPLORER.EXE -H -A -R 　　DEL C:EXPLORER.EXE 　　ATTRIB D:EXPLORER.EXE -H -A -R 　　DEL D:EXPLORER.EXE 　　５、將以下鍵值改為０ 　　HKLMSOFTWAREMicrosoftWindowsNTCurrent VersionWinL