发信人: qianggehk(QiangGe)
整理人: starseacn(2001-09-17 19:45:07), 站内信件
|
:“红色代码Ⅱ”病毒
“红色代码II”病毒是近日美国呼吁全球防范的“红色代码(code-red)”病毒的变种。它主要攻击:1、装Indexingservices和IIS4.0或IIS5.0的Windows2000/xp系统;2、装Indexingservices2.0和IIS4.0或IIS5.0的WindowsNT4.0系统。该病毒通过网络传播,使WindowsNT/2000/xp服务器遭受感染,利用IIS的缓冲区溢出漏洞,经TCP的80端口传播,并造成局部网络阻塞,该病毒变种在感染系统后会释放出黑客程序,它比“红色代码”病毒具有更强的破坏性。
判断病毒感染方法
1、在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的日志文件中是否含有以下内容:“GET/default.ida,
xxxxxxx% u9090% u6858% ucbd3% u7801% u9090%% u6858% ucbd3% u7801% u9090%% u6858% ucbd3% u7801% u9090% u9090% u8190% u00c3% u8b00% u531b% u53ff% u0078% u0000% u00=a,”
2、使用命令netstat-a如果在1025以上端口出现很多SYN-SENT连结请求,或者1025号以上的大量端口处于Listening状态。
3、如果在以下目录中存在Root.exe文件。
C:\inetpub\scripts\root.exe
D:\inetpub\scripts\root.exe
C:\programfiles\commonfiles\system\msadc\root.exe
D:\programfiles\commonfiles\system\msadc\root.exe
同时,红色代码II还会释放出两个文件“C:\explorer.exe”或“D:\explorer.exe”。这两个文件都是木马程序。
4、NT服务器中的web服务和FTP服务会异常中止。
解决病毒感染方法
1、到微软站点下载补丁程序(http://www.microsoft.com/technet/security/bulletin/MS01-033.asp):
2、断掉网络重新启动系统,防止病毒通过网络再次感染。
3、安装微软补丁程序。4、删除以下病毒释放的木马程序C:\inetpub\scripts\root.exeD:\inetpub\scripts\root.exeC:\programfiles\commonfiles\system\msadc\root.exeD:\programfiles\commonfiles\system\msadc\root.exe
使用以下命令删除以下文件:
ATTRIBC:\EXPLORER.EXE-H-A-RDELC:\EXPLORER.EXEATTRIBD:\EXPLORER.EXE-H-A-RDELD:\EXPLORER.EXE
5、将注册表的以下键值改为
0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon\SFCDiable
|
|