code red电脑病毒

code red电脑病毒,第1张

什么是Code Red电脑病毒!通过利用微软Internet Information Server的漏洞,2001年出现的Code Red病毒开始将网络服务器作为攻击目标。下面由我给你做出详细的code red介绍!希望对你有帮助!

code red介绍如下:

这种病毒的危险之处在于,它并不需要开启邮件附件或执行文件,只要计算机连接至网络,它便会使其无法正常显示网页。Code Red造成了26亿美元的经济损失,受感染计算机多达100万部。在不到一周的时间里,该病毒搞垮了超过40万部服务器,就连白宫的网页服务器也没能幸免。

红色代码III病毒档案

警惕程度:★★★★

发作时间:随机

病毒类型:内存病毒

传播方式:内存

感染对象:内存

病毒介绍:

该病毒是给全球的企业和个人造成了262亿美元经济损失的“红色代码”病毒的改进版本!它攻击安装了IIS服务程序的win2000系统的计算机,本身无文件形式,只存在于内存中,同时分成数百份线程,在局域网内疯狂传播,瞬间导致被感染的网络瘫痪。网络用户只能选用有内存监控的反病毒产品,将全网的内存监控同时打开并进行全网统一杀毒才能清除该病毒。

病毒的发现与清除:

此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒,可以按照下面所说的 方法 手工清除“红色代码III(JunkCoderedf)”病毒。

1 病毒会在内存中建立300个到600个病毒线程,病毒在内存中疯狂传染时会导致系统资源被100%占用,计算机运行非常慢。

2 如果月份大于等于10月时,病毒会强行重新启动计算机。

3 病毒运行时会将系统目录下的CMDEXE文件分别复制到系统根目录\inetpub\scripts和系统根目录\progra~1\common~1\system\MSADC目录下,并取名为rootexe。然后从病毒体内释放出一个木马程序,复制到系统根目录下,并取名为explorerexe。

4 病毒会修改相应的注册表项。

用户如果发现上述情况该很有可能是中了“红色代码III(JunkCoderedf)”病毒,应该立刻拔掉网线,删除上述文件,给系统打上补丁,补丁应该是Server pack 2以上版本。

编者:虽然本文介绍了手动清除“红色代码”蠕虫的方法,但对于大多数普通用户来说,我们认为采用微软提供的解决方法或是选用专业的反病毒厂商的相关安全产品清除该蠕虫,是最安全和便捷的方法。

背景资料

追踪“红色代码”

同样是有意针对中文 Windosws *** 作系统 的攻击性病毒,CodeRed III 与 CodeRed II 都将对简体中文/繁体中文Windows 系统进行双倍的攻击。本文为您讲述如何手动“红色代码III”蠕虫。

微软已经发布了一个安全公告MS01-033,同时提供了针对NT和2000系统的补丁:Windows NT 40、Windows 2000 Professional,Server and Advanced Server。

需要说明的一点是,我们在这里所介绍的清除方法对II、III型都有效,手动清除方法如下:

如果不幸中了此病毒,应该立即关闭所有 80 端口的 web 服务,避免病毒继续传播。

1清除的 web 服务器中的两个后门文件:/msadc/rootexe , /scripts/rootexe

这两个文件的物理地址一般情况下默认为:

C:\inetpub\scripts\rootexe

C:\progra~1\common~1\system\MSADC\rootexe

2清除本地硬盘中:c:\explorerexe 和 d:\explorerexe

先要杀掉进程explorerexe,打开任务管理器,选择进程。检查是否进程中有两个“exploerexe”。如果您找到两个“exploerexe”,说明木马已经在您的机器上运行了,在菜单中选择 查看 -> 选定列 -> 线程计数,按确定。这时您会发现显示框中增加了新的一列“线程数”。检查两个“exploerexe”, 显示线程数为“1”的“exploerexe”就是木马程序。您应当结束这个进程。

之后,您就可以删除掉C:\exploerexe和D:\exploerexe了,这两个程序都设置了隐藏和只读属性。您需要设置“资源管理器”的查看->选项->隐藏文件为“显示所有文件”才能看到它们。

3清除病毒在注册表中添加的项目:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

删除键:SFCDisable 键值为:0FFFFFF9Dh

或将键值改为 0

( 设置为0FFFFFF9Dh后,将在登陆时禁止系统文件检查 )

HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\

键:Scripts 键值为:,,217 改为 ,,201

( 这个键默认就是被打开的,不过如果没有特别需要的话,可以关闭 )

( 因为很多漏洞都是利用了这个虚拟目录下的文件攻击的。)

HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\

键:msadc 键值为:,,217 改为 ,,201

( 同Scripts )

HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\

删除键:c 键值为:c:\,,217

( 它将本地硬盘中的 C 盘在 web 中共享为 c )

HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\

删除键:d 键值为:d:\,,217

( 它将本地硬盘中的 D 盘在 web 中共享为 d )

如果不删除注册表中的以上键,中毒服务器的本地硬盘 C、D 将被完全控制。

4重新启动系统,以确保 CodeRedv3 彻底清除。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/10894971.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-12
下一篇 2023-05-12

发表评论

登录后才能评论

评论列表(0条)

保存