本报讯 (记者王瑾 通讯员林威扬)昨日,广东省公安厅公共信息网
络安全监察处向外界公布了“红色代码II”病毒的特征和解决、防治方法
。
近日,经我国计算机病毒防治产品检测中心确认,“红色代码II”病
毒已经在我国出现。该病毒是前几日美国呼吁全球防范的“红色代码(co
de—red)”病毒的变种。它通过网络传播,使Windows NT
/2000/xp 服务器遭受感染,利用IIS的缓冲区溢出漏洞,经T
CP的80端口传播,并造成局部网络阻塞,上网的速度减慢。并且该病毒
变种在感染系统后会释放出黑客程序,它比“红色代码”病毒具有更强的破
坏性。
一、判定是否受到病毒感染的方法
1、查看WINNT\SYSTEM32\LOGFILES\W3S
VC1目录下的日志文件,查看有无病毒代码;
2、使用命令netstat—a
如果在1025以上端口出现很多SYN—SENT连结请求,或者1
025号以上的大量端口处于Listening状态,那么该系统已经受
到病毒感染。
3、如果在以下目录中存在Root.exe文件,说明系统已被感染
。
C:\inetpub\scripts\root.exe
D:\inetpub\scripts\root.exe
C:\program files\common files\s
ystem\msadc\root.exe
D:\program files\common files\s
ystem\msadc\root.exe
同时,“红色代码II”还会释放出两个文件“C:\explore
r.exe”或“D:\explorer.exe”。这两个文件都是木
马程序。使得被攻击的机器可被黑客全程遥控。
4、 由于遭受“红色代码II”病毒的攻击,NT服务器中的web
服务和FTP服务会异常中止。
二、感染病毒解决方法
1、到微软站点下载补丁程序( http://www.micro
soft.com/technet/security/bulleti
n/MS01—033.asp ):
2、断掉网络重新启动系统,防止病毒通过网络再次感染。
3、安装微软补丁程序。
4、删除以下病毒释放的木马程序
C:\inetpub\scripts\root.exe
D:\inetpub\scripts\root.exe
C:\program files\common files\s
ystem\msadc\root.exe
D:\program files\common files\s
ystem\msadc\root.exe
使用以下命令删除以下文件:
ATTRIB C:\EXPLORER.EXE —H A R
DEL C:\EXPLORER.EXE
ATTRIB D:\EXPLORER.EXE —H A R
DEL D:\EXPLORER.EXE
5、 将注册表的以下键值改为0
HKEY—LOCAL—MACHINE\SOFTWARE\Micro
soft\WindowsNT\CurrentVersion\Win
Logon\SFCDiable
三、防治办法
目前,有些杀毒软件已能防范和查杀该病毒。用户可以购买最新版本的
具有实时报警功能的杀毒软件,或将已有的杀毒软件升级到最新版本,防治
此类病毒。
大量Motorola手机铃声等着你
|