紅色代碼III病毒

紅色代碼III病毒是給全球的企業和個人造成了26.2億美元經濟損失的“紅色代碼”病毒的改進版本。它攻擊安裝了IIS服務程式的win2000系統的計算機,本身無檔案形式,只存在於記憶體中,同時分成數百份執行緒,在區域網路內瘋狂傳播,瞬間導致被感染的網路癱瘓。網路用戶只能選用有記憶體監控的反病毒產品,將全網的記憶體監控同時打開並進行全網統一防毒才能清除該病毒。

基本介紹

  • 中文名:紅色代碼III病毒
  • 警惕程度:★★★★
  • 發作時間:隨機
  • 病毒類型記憶體病毒
病毒檔案,發現與清除,背景資料,

病毒檔案

警惕程度:★★★★
發作時間:隨機
病毒類型記憶體病毒
傳播方式:記憶體
感染對象:記憶體

發現與清除

此病毒會有如下特徵,如果用戶發現計算機中有這些特徵,則很有可能中了此病毒,可以按照下面所說的方法手工清除“紅色代碼III(Junk.Codered.f)”病毒。
1. 病毒會在記憶體中建立300個到600個病毒執行緒,病毒在記憶體中瘋狂傳染時會導致系統資源被100%占用,計算機運行非常慢。
2. 如果月份大於等於10月時,病毒會強行重新啟動計算機。
3. 病毒運行時會將系統目錄下的CMD.EXE檔案分別複製到系統根目錄\inetpub\scripts和系統根目錄\progra~1\common~1\system\MSADC目錄下,並取名為root.exe。然後從病毒體內釋放出一個木馬程式,複製到系統根目錄下,並取名為explorer.exe。
4. 病毒會修改相應的註冊表項
用戶如果發現上述情況該很有可能是中了“紅色代碼III(Junk.Codered.f)”病毒,應該立刻拔掉網線,刪除上述檔案,給系統打上補丁,補丁應該是Server pack 2以上版本。
=====================================================================================
編者:雖然本文介紹了手動清除“紅色代碼”蠕蟲的方法,但對於大多數普通用戶來說,我們認為採用微軟提供的解決方法或是選用專業的反病毒廠商的相關安全產品清除該蠕蟲,是最安全和便捷的方法。

背景資料

追蹤“紅色代碼”
同樣是有意針對中文 Windosws 作業系統的攻擊性病毒,CodeRed III 與 CodeRed II 都將對簡體中文/繁體中文 Windows 系統進行雙倍的攻擊。本文為您講述如何手動“紅色代碼III”蠕蟲。
微軟已經發布了一個安全公告MS01-033,同時提供了針對NT和2000系統的補丁:Windows NT 4.0、Windows 2000 Professional,Server and Advanced Server。
需要說明的一點是,我們在這裡所介紹的清除方法對II、III型都有效,手動清除方法如下:
如果不幸中了此病毒,應該立即關閉所有 80 連線埠的 web 服務,避免病毒繼續傳播。
1.清除的 web 伺服器中的兩個後門檔案:/msadc/root.exe , /scripts/root.exe
這兩個檔案的物理地址一般情況下默認為:
C:\inetpub\scripts\root.exe
C:\progra~1\common~1\system\MSADC\root.exe
2.清除本地硬碟中:c:\explorer.exe 和 d:\explorer.exe
先要殺掉進程explorer.exe,打開任務管理器,選擇進程。檢查是否進程中有兩個“exploer.exe”。如果您找到兩個“exploer.exe”,說明木馬已經在您的機器上運行了,在選單中選擇 查看 -> 選定列 -> 執行緒計數,按確定。這時您會發現顯示框中增加了新的一列“執行緒數”。檢查兩個“exploer.exe”, 顯示執行緒數為“1”的“exploer.exe”就是木馬程式。您應當結束這個進程。
之後,您就可以刪除掉C:\exploer.exe和D:\exploer.exe了,這兩個程式都設定了隱藏和唯讀屬性。您需要設定“資源管理器”的查看->選項->隱藏檔案為“顯示所有檔案”才能看到它們。
3.清除病毒在註冊表中添加的項目:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
刪除鍵:SFCDisable 鍵值為:0FFFFFF9Dh
或將鍵值改為 0
( 設定為0FFFFFF9Dh後,將在登入時禁止系統檔案檢查 )
HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\
鍵:Scripts 鍵值為:,,217 改為 ,,201
( 這個鍵默認就是被打開的,不過如果沒有特別需要的話,可以關閉 )
( 因為很多漏洞都是利用了這個虛擬目錄下的檔案攻擊的。)
HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\
鍵:msadc 鍵值為:,,217 改為 ,,201
( 同Scripts )
HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\
刪除鍵:c 鍵值為:c:\,,217
( 它將本地硬碟中的 C 盤在 web 中共享為 c )
HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\
刪除鍵:d 鍵值為:d:\,,217
( 它將本地硬碟中的 D 盤在 web 中共享為 d )
如果不刪除註冊表中的以上鍵,中毒伺服器的本地硬碟 C、D 將被完全控制。
4.重新啟動系統,以確保 CodeRed.v3 徹底清除。
注意:如果要確保清除病毒後不再次被感染,請安裝微軟發布的補丁

相關詞條

熱門詞條

聯絡我們