解决CodeRED问题

　　周六开始收到一些客户的求助信息：网络慢，严重丢包，交换机状态不正常(有的端口在反复重启)，Web服务器连接不上等等。经观察发现，这其实都是CodeRED病毒在作怪！
　　
　　CodeRED病毒扫描并攻击使用Win NT或 Win 2000 + IIS 的系统，利用IIS中Index Server的缓冲区溢出漏洞(文件idq.dll)入侵系统，修改注册表，加载木马程序以获得系统控制权，发作时利用大量的HTTP包进行DDOS攻击，使目标服务器或网络出现瘫痪或阻塞，无法提供正常的服务。
　　
　　受感染的系统根据病毒变种的不同可能会观察到以下一些现象： c或(和)d盘根目录下可能会发现一个隐含的explorer.exe 大小为8K；\inetpub\script目录下可能会发现root.exe文件；\Program Files\Common Files\System\msadc目录下也可能有root.exe;机器运行很慢等。
　　
　　如过使用sniffer，可能会观察到一些受感染的主机在发大量的http包,帧大小为62字节。有一台运行Win 2000的PC被感染后在3秒内发出的http包超过10,000个，同时这台主机也收到大量的icmp包。
　　
　　sniffer建议用NAI的sniffer pro 4.5, 在交换环境下，须设置交换机才能捕捉到交换机上所有的通讯: Cataylst 4000/5000/6000用set span 命令配置，3500/2900 用port monitor 配置，1900用菜单上的monitor子菜单配置监视特性。
　　
　　目前已知CodeRED至少有3个变种，还没有快捷简便的查杀方法。
　　
　　临时的处理方法如下：
　　
　　1.下载必要的补丁:如nt 的sp7, win 2000的sp2,并安装
　　
　　2. 下载IIS 漏洞补丁(NT和2000补丁版本不同)
　　
　　3. 关机，断开网络连接，启动到带命令行的维护模式将发现的上述文件删除（可能要先去掉系统，隐含和只读属性 attrib -s -h -r explorer.exe; del explorer.exe）;也可以不关闭系统，CTRL-ALT-DEL启动任务管理器,查看进程，选菜单“查看”->“选择列”，选中“线程计数”项并确认。在进程列表中，有两个Explorer.exe进程，线程数为1的进程是木马程序，选中并按按“结束进程”，确认把它中止，然后可以删除这些文件:
　　
　　c:\explorer.exe
　　d:\explorer.exe
　　c:\inetpub\scripts\root.exe
　　d:\inetpub\scripts\root.exe
　　c:\program files\common files\system\MSADC\root.exe
　　d:\program files\common files\system\MSADC\root.exe
　　
　　4.正常启动，安装IIS 漏洞补丁并重新启动
　　
　　5.恢复被病毒修改的注册表：
　　
　　启动regedit,删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\W3SVC\Parameters\Virtual Roots 下的/C /D /MSADC /Scripts键值
　　
　　如果是Win2000系统:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\ CurrentVersion\WinLogon双击键值SFCDisable并将值设为0