新闻动态
新闻动态
- 关键字标签和描述标签对SEO的效果
- 小程序登录流程图理解
- 微信小程序 - 高级 - wx:for 与 wx:for-items 与 wx:key
- 将两个表数据绑定到一个GRIDVIEW中
- Thinkphp6 中.htaccess文件设置伪静态
- 移动控件介绍及详细使用方法:Command控件
- 小心友情链接遭连坐
- ALT-代替属性
- Context.User.Identity.Name是什么?
- 天猫运营和淘宝运营有哪些区别?
联系我们
邮箱:
手机:15383239821
数据库
红色代码II病毒
作者:
发布时间:2013-06-09
点击:
病毒名称:红色代码II(CodeRedII)
别名:CODERED.C, CODERED, HBC, W32/CodeRed.C, CodeRedIII, CodeRed III, Code Red II
病毒特点:
该病毒利用IIS的缓冲区溢出漏洞,通过TCP的80端口传播,并且该病毒变种在感染系统后会释放出黑客程序。它的技术特性如下:
一、攻击的目标系统:
1、安装Indexing services 和IIS 4.0 或IIS 5.0的Windows 2000系统
2、安装Index Server 2.0和IIS 4.0 或IIS 5.0的Microsoft Windows NT 4.0系统
1、安装Indexing services 和IIS 4.0 或IIS 5.0的Windows 2000系统
2、安装Index Server 2.0和IIS 4.0 或IIS 5.0的Microsoft Windows NT 4.0系统
二、如何判定遭受“红色代码II”病毒攻击
1、在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的日志文件中是否含有以下内容
GET,/default.ida,
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a,
如果发现这些内容,那么该系统已经遭受“红色代码II”的攻击。
1、在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的日志文件中是否含有以下内容
GET,/default.ida,
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a,
如果发现这些内容,那么该系统已经遭受“红色代码II”的攻击。
2、使用命令netstat –a
如果在1025以上端口出现很多SYN-SENT连接请求,或者1025号以上的大量端口处于Listening状态,那么该系统已经遭受“红色代码II”病毒的感染。
如果在1025以上端口出现很多SYN-SENT连接请求,或者1025号以上的大量端口处于Listening状态,那么该系统已经遭受“红色代码II”病毒的感染。
3、如果在以下目录中存在Root.exe文件,说明系统已被感染。
C:\inetpub\Scripts\Root.exe
D:\inetpub\Scripts\Root.exe
C:\progra~1\Common~1\System\MSADC\Root.exe
D:\Progra~1\Common~1\System\MSADC\Root.exe
同时,“红色代码II”还会释放出以下两个文件C:\Explorer.exe or D:\Explorer.exe。这两个文件都是木马程序。
C:\inetpub\Scripts\Root.exe
D:\inetpub\Scripts\Root.exe
C:\progra~1\Common~1\System\MSADC\Root.exe
D:\Progra~1\Common~1\System\MSADC\Root.exe
同时,“红色代码II”还会释放出以下两个文件C:\Explorer.exe or D:\Explorer.exe。这两个文件都是木马程序。
4、由于遭受“红色代码II”病毒的攻击,NT服务器中的Web服务和Ftp服务会异常中止。
三、解决方案
1、请到以下微软站点下载补丁程序:
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
2、断掉网络重新启动系统,防止病毒通过网络再次感染。
3、安装微软补丁程序。
4、删除以下病毒释放的木马程序
C:\inetpub\Scripts\Root.exe
D:\inetpub\Scripts\Root.exe
C:\progra~1\Common~1\System\MSADC\Root.exe
D:\Progra~1\Common~1\System\MSADC\Root.exe
使用以下命令删除以下文件:
ATTRIB C:\EXPLORER.EXE -H -A -R
DEL C:\EXPLORER.EXE
ATTRIB D:\EXPLORER.EXE -H -A -R
DEL D:\EXPLORER.EXE
1、请到以下微软站点下载补丁程序:
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
2、断掉网络重新启动系统,防止病毒通过网络再次感染。
3、安装微软补丁程序。
4、删除以下病毒释放的木马程序
C:\inetpub\Scripts\Root.exe
D:\inetpub\Scripts\Root.exe
C:\progra~1\Common~1\System\MSADC\Root.exe
D:\Progra~1\Common~1\System\MSADC\Root.exe
使用以下命令删除以下文件:
ATTRIB C:\EXPLORER.EXE -H -A -R
DEL C:\EXPLORER.EXE
ATTRIB D:\EXPLORER.EXE -H -A -R
DEL D:\EXPLORER.EXE
5、将以下键值改为0
HKLM\SOFTWARE\Microsoft\WindowsNT\Current Version\WinL
HKLM\SOFTWARE\Microsoft\WindowsNT\Current Version\WinL
新闻资讯
-
2010-11-11什么是反向链接?反向链接是什么?
-
2023-09-23Thinkphp .htaccess文件设置伪静态
-
2012-07-02说说网站如何优化才有好的排名的
-
2010-11-06System.NullReferenceException 未将对象引用设置到对象的实例
-
2024-11-09域名中cvcv组成是啥意思
-
2010-12-09什么是H1标签,网站优化时怎么使用H1标签?
相关案例
