code red電腦病毒

時間：2016-03-30 14:09:55 林輝766由分享

　　什么是Code Red電腦病毒!通過利用微軟Internet Information Server的漏洞，2001年出現(xiàn)的Code Red病毒開始將網(wǎng)絡(luò)服務(wù)器作為攻擊目標(biāo)。下面由學(xué)習(xí)啦小編給你做出詳細的code red介紹!希望對你有幫助!

　　code red介紹如下：

　　這種病毒的危險之處在于，它并不需要開啟郵件附件或執(zhí)行文件，只要計算機連接至網(wǎng)絡(luò)，它便會使其無法正常顯示網(wǎng)頁。Code Red造成了26億美元的經(jīng)濟損失，受感染計算機多達100萬部。在不到一周的時間里，該病毒搞垮了超過40萬部服務(wù)器，就連白宮的網(wǎng)頁服務(wù)器也沒能幸免。

　　紅色代碼III病毒檔案

　　警惕程度：★★★★

　　發(fā)作時間：隨機

　　病毒類型：內(nèi)存病毒

　　傳播方式：內(nèi)存

　　感染對象：內(nèi)存

　　病毒介紹：

　　該病毒是給全球的企業(yè)和個人造成了26.2億美元經(jīng)濟損失的“紅色代碼”病毒的改進版本!它攻擊安裝了IIS服務(wù)程序的win2000系統(tǒng)的計算機，本身無文件形式，只存在于內(nèi)存中，同時分成數(shù)百份線程，在局域網(wǎng)內(nèi)瘋狂傳播，瞬間導(dǎo)致被感染的網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)用戶只能選用有內(nèi)存監(jiān)控的反病毒產(chǎn)品，將全網(wǎng)的內(nèi)存監(jiān)控同時打開并進行全網(wǎng)統(tǒng)一殺毒才能清除該病毒。

　　病毒的發(fā)現(xiàn)與清除：

　　此病毒會有如下特征，如果用戶發(fā)現(xiàn)計算機中有這些特征，則很有可能中了此病毒，可以按照下面所說的方法手工清除“紅色代碼III(Junk.Codered.f)”病毒。

　　1. 病毒會在內(nèi)存中建立300個到600個病毒線程，病毒在內(nèi)存中瘋狂傳染時會導(dǎo)致系統(tǒng)資源被100%占用，計算機運行非常慢。

　　2. 如果月份大于等于10月時，病毒會強行重新啟動計算機。

　　3. 病毒運行時會將系統(tǒng)目錄下的CMD.EXE文件分別復(fù)制到系統(tǒng)根目錄\inetpub\scripts和系統(tǒng)根目錄\progra~1\common~1\system\MSADC目錄下，并取名為root.exe。然后從病毒體內(nèi)釋放出一個木馬程序，復(fù)制到系統(tǒng)根目錄下，并取名為explorer.exe。

　　4. 病毒會修改相應(yīng)的注冊表項。

　　用戶如果發(fā)現(xiàn)上述情況該很有可能是中了“紅色代碼III(Junk.Codered.f)”病毒，應(yīng)該立刻拔掉網(wǎng)線，刪除上述文件，給系統(tǒng)打上補丁，補丁應(yīng)該是Server pack 2以上版本。

　　編者：雖然本文介紹了手動清除“紅色代碼”蠕蟲的方法，但對于大多數(shù)普通用戶來說，我們認為采用微軟提供的解決方法或是選用專業(yè)的反病毒廠商的相關(guān)安全產(chǎn)品清除該蠕蟲，是最安全和便捷的方法。

　　背景資料

　　追蹤“紅色代碼”

　　同樣是有意針對中文 Windosws 操作系統(tǒng)的攻擊性病毒，CodeRed III 與 CodeRed II 都將對簡體中文/繁體中文Windows 系統(tǒng)進行雙倍的攻擊。本文為您講述如何手動“紅色代碼III”蠕蟲。

　　微軟已經(jīng)發(fā)布了一個安全公告MS01-033，同時提供了針對NT和2000系統(tǒng)的補?。篧indows NT 4.0、Windows 2000 Professional，Server and Advanced Server。

　　需要說明的一點是，我們在這里所介紹的清除方法對II、III型都有效，手動清除方法如下：

　　如果不幸中了此病毒，應(yīng)該立即關(guān)閉所有 80 端口的 web 服務(wù)，避免病毒繼續(xù)傳播。

　　1.清除的 web 服務(wù)器中的兩個后門文件：/msadc/root.exe , /scripts/root.exe

　　這兩個文件的物理地址一般情況下默認為：

　　C:\inetpub\scripts\root.exe

　　C:\progra~1\common~1\system\MSADC\root.exe

　　2.清除本地硬盤中：c:\explorer.exe 和 d:\explorer.exe

　　先要殺掉進程explorer.exe，打開任務(wù)管理器，選擇進程。檢查是否進程中有兩個“exploer.exe”。如果您找到兩個“exploer.exe”，說明木馬已經(jīng)在您的機器上運行了，在菜單中選擇查看 -> 選定列 -> 線程計數(shù)，按確定。這時您會發(fā)現(xiàn)顯示框中增加了新的一列“線程數(shù)”。檢查兩個“exploer.exe”, 顯示線程數(shù)為“1”的“exploer.exe”就是木馬程序。您應(yīng)當(dāng)結(jié)束這個進程。

　　之后，您就可以刪除掉C:\exploer.exe和D:\exploer.exe了，這兩個程序都設(shè)置了隱藏和只讀屬性。您需要設(shè)置“資源管理器”的查看->選項->隱藏文件為“顯示所有文件”才能看到它們。

　　3.清除病毒在注冊表中添加的項目：

　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

　　刪除鍵：SFCDisable 鍵值為：0FFFFFF9Dh

　　或?qū)㈡I值改為 0

　　( 設(shè)置為0FFFFFF9Dh后，將在登陸時禁止系統(tǒng)文件檢查 )

　　HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\

　　鍵：Scripts 鍵值為：,,217 改為 ,,201

　　( 這個鍵默認就是被打開的，不過如果沒有特別需要的話，可以關(guān)閉 )

　　( 因為很多漏洞都是利用了這個虛擬目錄下的文件攻擊的。)

　　HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\

　　鍵：msadc 鍵值為：,,217 改為 ,,201