技術 > 紅色代碼ii（coderedii）病毒



病毒名稱：紅色代碼ii（coderedii） 　　別名：codered.c, codered, hbc, w32/codered.c, coderediii, codered iii, code red ii 　　病毒特點： 　　該病毒利用iis的緩衝區溢出漏洞，通過tcp的８０端口傳播，並且該病毒變種在感染係統後會釋放出黑客程序。它的技術特性如下： 　　一、攻擊的目標係統： 　　1、安裝indexing services 和iis 4.0 或iis 5.0的windows 2000係統 　　2、安裝index server 2.0和iis 4.0 或iis 5.0的microsoft windows nt 4.0係統 　　二、如何判定遭受“紅色代碼ii”病毒攻擊 　　1、在winntsystem32logfilesw3svc1目錄下的日志文件中是否含有以下內容 　　get，/default.ida, 　　xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 　　xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 　　xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 　　xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a, 　　如果發現這些內容，那麽該係統已經遭受“紅色代碼ii”的攻擊。 　　２、使用命令netstat ╟a 　　如果在１０２５以上端口出現很多syn-sent連接請求，或者１０２５號以上的大量端口處於listening狀態，那麽該係統已經遭受“紅色代碼ii”病毒的感染。 　　３、如果在以下目錄中存在root.exe文件，說明係統已被感染。 　　c:inetpubscripts oot.exe 　　d:inetpubscripts oot.exe 　　c:progra~1common~1systemmsadc oot.exe 　　d:progra~1common~1systemmsadc oot.exe 　　同時，“紅色代碼ii”還會釋放出以下兩個文件c:explorer.exe or d:explorer.exe。這兩個文件都是木馬程序。 　　４、由於遭受“紅色代碼ii”病毒的攻擊，nt服務器中的web服務和ftp服務會異常中止。 　　三、解决方案 　　１、請到以下微軟站點下載補丁程序： 　　http://www.microsoft.com/technet/security/bulletin/ms01-033.asp 　　２、斷掉網絡重新啓動係統，防止病毒通過網絡再次感染。 　　３、安裝微軟補丁程序。 　　４、刪除以下病毒釋放的木馬程序 　　c:inetpubscripts oot.exe 　　d:inetpubscripts oot.exe 　　c:progra~1common~1systemmsadc oot.exe 　　d:progra~1common~1systemmsadc oot.exe 　　使用以下命令刪除以下文件： 　　attrib c:explorer.exe -h -a -r 　　del c:explorer.exe 　　attrib d:explorer.exe -h -a -r 　　del d:explorer.exe 　　５、將以下鍵值改為０ 　　hklmsoftwaremicrosoftwindowsntcurrent versionwinl