技术 > 红色代码ii
目录
No. 1
  病毒名称:红色代码ii(coderedii)
  别名:codered.c, codered, hbc, w32/codered.c, coderediii, codered iii, code red ii
  病毒特点: 该病毒利用iis的缓冲区溢出漏洞,通过tcp的80端口传播,并且该病毒变种在感染系统后会释放出黑客程序。它的技术特性如下:
  一、攻击的目标系统:
  1、安装indexing services 和iis 4.0 或iis 5.0的windows 2000系统
  2、安装index server 2.0和iis 4.0 或iis 5.0的microsoft windows nt 4.0系统
  二、如何判定遭受“红色代码ii”病毒攻击
  1、在winntsystem32logfilesw3svc1目录下的日志文件中是否含有以下内容
  get,/default.ida,
  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a,
  如果发现这些内容,那么该系统已经遭受“红色代码ii”的攻击。
  2、使用命令netstat ╟a
  如果在1025以上端口出现很多syn-sent连接请求,或者1025号以上的大量端口处于listening状态,那么该系统已经遭受“红色代码ii”病毒的感染。
  3、如果在以下目录中存在root.exe文件,说明系统已被感染。
  c:inetpubscripts oot.exe
  d:inetpubscripts oot.exe
  c:progra~1common~1systemmsadc oot.exe
  d:progra~1common~1systemmsadc oot.exe
  同时,“红色代码ii”还会释放出以下两个文件c:explorer.exe or d:explorer.exe。这两个文件都是木马程序。
  4、由于遭受“红色代码ii”病毒的攻击,nt服务器中的web服务和ftp服务会异常中止。
  解决方案
  1、请到以下微软站点下载补丁程序:
  http://www.microsoft.com/technet/security/bulletin/ms01-033.asp
  2、断掉网络重新启动系统,防止病毒通过网络再次感染。
  3、安装微软补丁程序。
  4、删除以下病毒释放的木马程序
  c:inetpubscripts oot.exe
  d:inetpubscripts oot.exe
  c:progra~1common~1systemmsadc oot.exe
  d:progra~1common~1systemmsadc oot.exe
  使用以下命令删除以下文件:
  attrib c:explorer.exe -h -a -r
  del c:explorer.exe
  attrib d:explorer.exe -h -a -r
  del d:explorer.exe
  5、将以下键值改为0
  hklmsoftwaremicrosoftwindowsntcurrent versionwinl
病毒名称:
  红色代码ii(CodeRedII)
  别名:CODERED.C, CODERED, HBC, W32/CodeRed.C, CodeRedIII, CodeRed III, Code Red II
病毒特点:
  该病毒利用IIS的缓冲区溢出漏洞,通过TCP的80端口传播,并且该病毒变种在感染系统后会释放出黑客程序。它的技术特性如下:
  一、攻击的目标系统:
  1、安装Indexing services 和IIS 4.0 或IIS 5.0的Windows 2000系统
  2、安装Index Server 2.0和IIS 4.0 或IIS 5.0的Microsoft Windows NT 4.0系统
  二、如何判定遭受“红色代码ii”病毒攻击
  1、在WINNTSYSTEM32LOGFILESW3SVC1目录下的日志文件中是否含有以下内容
  GET,/default.ida,
  XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
  XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
  XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
  XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a,
  如果发现这些内容,那么该系统已经遭受“红色代码ii”的攻击。
  2、使用命令netstart –a
  如果在1025以上端口出现很多SYN-SENT连接请求,或者1025号以上的大量端口处于Listening状态,那么该系统已经遭受“红色代码ii”病毒的感染。
  3、如果在以下目录中存在Root.exe文件,说明系统已被感染。
  C:inetpubScriptsRoot.exe
  D:inetpubScriptsRoot.exe
  C:progra~1Common~1SystemMSADCRoot.exe
  D:Progra~1Common~1SystemMSADCRoot.exe
  同时,“红色代码ii”还会释放出以下两个文件C:Explorer.exe or D:Explorer.exe。这两个文件都是木马程序。
  4、由于遭受“红色代码ii”病毒的攻击,NT服务器中的Web服务和Ftp服务会异常中止。
解决方案
  1、请到以下微软站点下载补丁程序:
  http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
  2、断掉网络重新启动系统,防止病毒通过网络再次感染。
  3、安装微软补丁程序。
  4、删除以下病毒释放的木马程序
  C:inetpubScriptsRoot.exe
  D:inetpubScriptsRoot.exe
  C:progra~1Common~1SystemMSADCRoot.exe
  D:Progra~1Common~1SystemMSADCRoot.exe
  使用以下命令删除以下文件:
  ATTRIB C:EXPLORER.EXE -H -A -R
  DEL C:EXPLORER.EXE
  ATTRIB D:EXPLORER.EXE -H -A -R
  DEL D:EXPLORER.EXE
  5、将以下键值改为0
  HKLMSOFTWAREMicrosoftWindowsNTCurrent VersionWinL