紅色代碼II

紅色代碼II（CodeRedII）

別名：CODERED.C, CODERED, HBC, W32/CodeRed.C, CodeRedIII, CodeRed III, Code Red II

該病毒利用IIS的緩衝區溢出漏洞，通過TCP的80端口傳播，並且該病毒變種在感染系統後會釋放出黑客程序。它的技術特性如下：

一、攻擊的目標系統：

1、安裝Indexing services 和IIS 4.0 或IIS 5.0的Windows 2000系統

2、安裝Index Server 2.0和IIS 4.0 或IIS 5.0的Microsoft Windows NT 4.0系統

二、如何判定遭受“紅色代碼II”病毒攻擊

1、在WINNT\SYSTEM32\LOGFILES\W3SVC1目錄下的日誌文件中是否含有以下內容

GET，/default.ida,

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a,

如果發現這些內容，那麼該系統已經遭受“紅色代碼II”的攻擊。

2、使用命令netstart –a

如果在1025以上端口出現很多SYN-SENT連接請求，或者1025號以上的大量端口處於Listening狀態，那麼該系統已經遭受“紅色代碼II”病毒的感染。

3、如果在以下目錄中存在Root.exe文件，説明系統已被感染。

C:\inetpub\Scripts\Root.exe

D:\inetpub\Scripts\Root.exe

C:\progra~1\Common~1\System\MSADC\Root.exe

D:\Progra~1\Common~1\System\MSADC\Root.exe

同時，“紅色代碼II”還會釋放出以下兩個文件C:\Explorer.exe or D:\Explorer.exe。這兩個文件都是木馬程序。

4、由於遭受“紅色代碼II”病毒的攻擊，NT服務器中的Web服務和Ftp服務會異常中止。

1、請到微軟站點下載補丁程序：

2、斷掉網絡重新啓動系統，防止病毒通過網絡再次感染。

3、安裝微軟補丁程序。

4、刪除以下病毒釋放的木馬程序

C:\inetpub\Scripts\Root.exe

D:\inetpub\Scripts\Root.exe

C:\progra~1\Common~1\System\MSADC\Root.exe

D:\Progra~1\Common~1\System\MSADC\Root.exe

使用以下命令刪除以下文件：

ATTRIB C:\EXPLORER.EXE -H -A -R

DEL C:\EXPLORER.EXE

ATTRIB D:\EXPLORER.EXE -H -A -R

DEL D:\EXPLORER.EXE

5、將以下鍵值改為0

HKLM\SOFTWARE\Microsoft\WindowsNT\Current Version\WinL