红色代码II(CodeRedII)-常见病毒解决方案大全!
  病毒名称:红色代码II(CodeRedII)   别名:CODERED.C,CODERED,HBC,W32/CodeRed.C,CodeRedIII,CodeRedIII,CodeRedII   一、病毒特点:   该病毒利用IIS的缓冲区溢出漏洞,通过TCP的80端口传播,并且该病毒变种在感染系统后会释放出黑客程序。它的技术特性如下:一、攻击的目标系统:   1、安装Indexingservices和IIS4.0或IIS5.0的Windows2000系统   2、安装IndexServer2.0和IIS4.0或IIS5.0的MicrosoftWindowsNT4.0系统   二、如何判定遭受“红色代码II”病毒攻击   1、在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的日志文件中是否含有以下内容   GET,/default.ida,   XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX   XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX   XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX   XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a,   如果发现这些内容,那么该系统已经遭受“红色代码II”的攻击。   2、使用命令netstatCa   如果在1025以上端口出现很多SYN-SENT连接请求,或者1025号以上的大量端口处于Listening状态,那么该系统已经遭受“红色代码II”病毒的感染。   3、如果在以下目录中存在Root.exe文件,说明系统已被感染。   C:\inetpub\Scripts\Root.exe   D:\inetpub\Scripts\Root.exe   C:\progra~1\Common~1\System\MSADC\Root.exe   D:\Progra~1\Common~1\System\MSADC\Root.exe   同时,“红色代码II”还会释放出以下两个文件C:\Explorer.exeorD:\Explorer.exe。这两个文件都是木马程序。   4、由于遭受“红色代码II”病毒的攻击,NT服务器中的Web服务和Ftp服务会异常中止。   三、解决方案   1、请到以下微软站点下载补丁程序:   http://www.microsoft.com/technet/sec...n/MS01-033.asp   2、断掉网络重新启动系统,防止病毒通过网络再次感染。   3、安装微软补丁程序。   4、删除以下病毒释放的木马程序   C:\inetpub\Scripts\Root.exe   D:\inetpub\Scripts\Root.exe   C:\progra~1\Common~1\System\MSADC\Root.exe   D:\Progra~1\Common~1\System\MSADC\Root.exe   使用以下命令删除以下文件:   ATTRIBC:\EXPLORER.EXE-H-A-R   DELC:\EXPLORER.EXE   ATTRIBD:\EXPLORER.EXE-H-A-R   DELD:\EXPLORER.EXE   5、将以下键值改为0   HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinL