精华区

[关闭][返回]

---

当前位置：月光软件>>讨论区精华>>〖电脑技术〗>>● WinNT系统>>稳定与冗余>>安全信息>>附查杀红色代码（duba_CodeRed2）病毒2篇文章（来源---新浪网科技

主题：附查杀红色代码（duba_CodeRed2）病毒2篇文章（来源---新浪网科技

发信人: literr(贝嘉) 整理人: ccaatt(2001-10-23 08:44:35), 站内信件 中联绿盟公布“红色代号”杀毒方案  --------------------------------------------------------------------------------   http://www.sina.com.cn 2001年08月13日 11:17 新浪科技    　　高永安(中联绿盟信息技术有限公司董事常务副总经理)/文 　　最近的互联网安全话题自中美黑客大战之后又陡然热闹起来，这次的主角是被称为“红色代号” (CodeRed)的一个新型蠕虫病毒，自从eEye数字安全公司在6月18日首次报告了微软IIS服务器中的.ida漏洞之后， 7月13日，距离eEye首次报告.ida漏洞还不到一个月的时间，就出现了首批感染“红色代号”的报道。虽然微软很快就发布警告称，该漏洞可以造成   非常严重的后果，并且推出了补丁程序，但是，许多IIS服务器的管理员却没有及时安装该补丁程序。 　　“红色代号” (CodeRed)蠕虫是一个利用微软IIS5.0(Windows2000)及IIS4.0(NT4.0)上的系统服务中存在的安全漏洞通过因特网蔓延的蠕虫。蠕虫变种在WINDOWS系统中更改系统设置, 修改WINDOWS文件并放置特洛伊木马程序, 最终导致受感染系统后门大开, 丧失安全策略，一代只侵袭英文的WINDOWS系统，所以对国内的服务器破坏不大，可是最近“红色代号II” (CodeRedII)已经出现并迅速在国内已经开始蔓延，经过某位好事之徒的修改第二代CodeRed 仅在运行微软IIS的WINDOWS2000的系统中传播.，入侵系统后, 蠕虫将CMD.EXE重命名为root.exe后，拷贝到C:盘及D:盘以下目录中: inetpubscripts和program filesmmon filessystemmsadc 。之后, 蠕虫将开始扫描网络, 寻找其它可被攻击的系统, 这一过程在英文WINDOWS2000系统中将持续24小时, 而在运行中文WINDOWS2000的系统中将持续48小时. 　　接着, 蠕虫程序在使用微软IIS5.0(Windows2000)且存在安全漏洞的系统中种植木马程序。即：在C:盘和D:盘的根目录下生成一个大小为8,192字节的EXPLORER.EXE木马程序, 然后重启系统, 执行木马程序. 　　木马程序修改注册键值，并创建两个虚拟IIS目录C和D, 分别映射到系统的C:盘和D:盘，而这些虚拟目录被赋予读写及可执行权限, 这样木马程序通过IIS向所有黑客提供了对被感染服务器C:盘和D:盘的完全控制能力. 在这之后,木马程序会每隔10分钟重复进行以上对注册表项的修改。 　　第二代蠕虫病毒传播速度快，一旦进入你的网络会迅速的以光速在内网所有存在安全漏洞的Winodws2000内存中感染传播，然后，蠕虫发送大量HTTP服务请求，造成Web服务器的服务无法响应，路由器负载过重不能响应，整个网络处于瘫痪的状态。 　　如果您的网络出现了流量上的异常可以通过以下方法侦测和清除“红色代号II” (CodeRedII)首先侦测网络流量，通过查看网络流量及HTTP网络活动，找到通过80端口发送HTTP的0字节无用数据包的机器，进而找到已经感染木马程序的Windows2000/NT的机器。然后从以下微软公司的网站下载补丁文件http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms01-033.asp)，将其安装在Windows2000/NT系统上，修补IIS系统的漏洞。 　　(1)删除C:xplorer.exe和D:xplorer.exe文件(这两个文件为隐藏、只读文件)(2)(3)修改注册表中被病毒修改的键值：HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonSFCDisable=0x FFFFFF9D，改为0； 　　(4)把HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtualRoots中对于c:和d: 的完全控制键删除。(5)(6)删除C:盘及D:盘 inetpubscripts ，program filesmmon filessystemmsadc目录中root.exe文件 　　(7)重启计算机 　　我个人认为“红色代号”系列病毒可以说是计算机病毒史上的又一个划时代的里程碑，上一个里程碑应该是台湾陈盈豪写作的“CIH”系列，“CIH”首先实现了病毒能够通过程序的缺陷来破坏硬件，而这次的“红色代号”则创造性将特洛伊木马和蠕虫病毒加黑客的攻击手段结合在一起并使之具有一定的智能化，通过80端口的传播轻松穿越防火墙，使得目前经过多年发展已经很成熟的防火墙技术形同虚设，利用系统漏洞设置木马程序，更改主页文件只靠目前完善的杀病毒技术也无能为力，单从技术上的角度评判最初的写作者具有伟大的创造性思维，“红色代号”的出现将持续的影响网络安全技术的发展方向。 　　对于类似的恶性病毒我们也不是对此束手无策，根本上来说这是一个社会工程需要广大的互联网用户和专业的网络管理员提高安全意识，聘请专业的安全服务公司和杀病毒软件厂商来提高自己的网络安全水平，随着信息化时代的到来，越来越多的上层建筑将建立在以网络为传输基础的条件上，网络的安全将会和一个国家政治经济乃至军事的安全处在同一个高度上，也要求那些安全领域专业的网络安全公司携起手来精诚合作筑起我们自己的网络长城。   ~~~~~~~~~~~~~~~~~~ 金山毒霸2001工具之duba_CodeRed2  --------------------------------------------------------------------------------   http://www.sina.com.cn 2001年08月15日 15:16 新浪科技    　　7月22日金山毒霸2001率先在国内截获“红色代码”(Code Red)病毒，近日这个恶性病毒变异为红色代码II(Code Red2)。红色代码II(Code Red2)已给欧美国家的各大企业网络及政府机构造成巨大损失，目前已经造成超过12亿美元的损失。"红色代码"二代病毒不仅感染英文视窗2000和NT英文操作系统，也感染中文操作系统。为了让没有购买《金山毒霸》的计算机用户也能够避免的红色代码II(Code Red2)危害，金山公司特地推出了《金山毒霸实用工具系列》的最新成员——专门查杀红色代码II(Code Red2   )的小工具duba-CodeRed2。 　　《金山毒霸实用工具系列》包含的是一系列短小精悍的杀毒小工具，专供用户下载使用。它们主要针对当前流行面积大、增长速度快、危害严重的单个恶性病毒(如CIH、HappyTime、FunLove、万花谷、SirCam等)，一般不超过百K。在病毒疫情特别严重时，这些看似不起眼的小程序有时就成为计算机的护身符。现在，面对“红色代码”(Code Red)病毒的肆虐，我们在及时升级《金山毒霸》病毒库的同时，在一天之内紧急开发了专门查杀“红色代码”(Code Red)的小工具——duba_ Code Red2，并放在毒霸主页(www.iduba.net)上下载，同时发往各大网站。短短几个小时之内，就有数万用户下载并进行测试计算机内的“红色代码”(Code Red)病毒，极大地抑止了“红色代码”(Code Red)在中国疫情的发展。 　　Duba_CodeRed2仅94.5K，它不依赖于包括《金山毒霸》在内的任何软件，也不需要安装，在任何位置均可运行，查杀本机上的“红色代码”(Code Red)病毒。它适用于Windows95/98/ME/2000/NT操作系统，并可自动识别操作系统语言自动更换中、英文界面。默认设置情况下，在检查硬盘上的文件前，Duba_CodeRed2会先扫描内存中是否存在“红色代码”(Code Red)病毒，如果存在，则在内存中清除病毒，随后，Duba_CodeRed2程序将将检查您的注册表，清除CodeRed2所做的修改，恢复正常的系统及W3C服务的设置。随后，Duba_CodeRed2程序将根据您的选择进行文件清除工作，自动对您磁盘上的CodeRed2病毒进行清除。它查毒速度快，查杀干净彻底，对于Duba_CodeRed2被困扰且没有购买《金山毒霸》的用户来说，拥有Duba_CodeRed2足以解燃眉之急，您可在www.iduba.net的网站上自由下载此程序及微软补丁。在此提醒您，只有重新启动，补丁才能实际生效，系统的病毒才能被排除。 　　面对现在越来越严峻的计算机使用与信息安全环境，保护计算机使用与信息安全的任务的确变的很紧急，很迫切。由于反病毒软件本身的价格问题，再加上国人心目中的计算机安全意识的普遍薄弱，反病毒软件的普及使用受到了很大地阻碍。金山毒霸站在“一切以用户为重”的角度，给广大计算机用户提供《金山毒霸实用工具系列》，不仅有力保障了用户计算机信息的安全，也对国民的反病毒意识起到了广泛的推动作用。这对提高用户对计算机安全的认识以及今后国内反病毒软件市场的发展都是一个积极的促进。   ---- 我是网虫贝嘉！qq:14488022 个人网站叫贝嘉网管园地 我是：北京NT版版主 ，欢迎访问NT技术版 ! 我是一个快乐的路由器DIY~~~~~~    [关闭][返回]

转载请注明：转载自 月光程序代码网 [ http://www.moon-soft.com ]