科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道解决CodeRED问题

解决CodeRED问题

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

周六开始收到一些客户的求助信息:网络慢,严重丢包,交换机状态不正常(有的端口在反复重启),Web服务器连接不上等等。经观察发现,这其实都是CodeRED病毒在作怪!

作者:zdnet安全频道 来源:论坛整理 2008年7月9日

关键字: CodeRed 网络管理

  • 评论
  • 分享微博
  • 分享邮件
  周六开始收到一些客户的求助信息:网络慢,严重丢包,交换机状态不正常(有的端口在反复重启),Web服务器连接不上等等。经观察发现,这其实都是CodeRED病毒在作怪!
  
  CodeRED病毒扫描并攻击使用Win NT或 Win 2000 + IIS 的系统,利用IIS中Index Server的缓冲区溢出漏洞(文件idq.dll)入侵系统,修改注册表,加载木马程序以获得系统控制权,发作时利用大量的HTTP包进行DDOS攻击,使目标服务器或网络出现瘫痪或阻塞,无法提供正常的服务。
  
  受感染的系统根据病毒变种的不同可能会观察到以下一些现象: c或(和)d盘根目录下可能会发现一个隐含的explorer.exe 大小为8K;\inetpub\script目录下可能会发现root.exe文件;\Program Files\Common Files\System\msadc目录下也可能有root.exe;机器运行很慢等。
  
  如过使用sniffer,可能会观察到一些受感染的主机在发大量的http包,帧大小为62字节。有一台运行Win 2000的PC被感染后在3秒内发出的http包超过10,000个,同时这台主机也收到大量的icmp包。
  
  sniffer建议用NAI的sniffer pro 4.5, 在交换环境下,须设置交换机才能捕捉到交换机上所有的通讯: Cataylst 4000/5000/6000用set span 命令配置,3500/2900 用port monitor 配置,1900用菜单上的monitor子菜单配置监视特性。
  
  目前已知CodeRED至少有3个变种,还没有快捷简便的查杀方法。
  
  临时的处理方法如下:
  
  1.下载必要的补丁:如nt 的sp7, win 2000的sp2,并安装
  
  2. 下载IIS 漏洞补丁(NT和2000补丁版本不同)
  
  3. 关机,断开网络连接,启动到带命令行的维护模式将发现的上述文件删除(可能要先去掉系统,隐含和只读属性 attrib -s -h -r explorer.exe; del explorer.exe);也可以不关闭系统,CTRL-ALT-DEL启动任务管理器,查看进程,选菜单“查看”->“选择列”,选中“线程计数”项并确认。在进程列表中,有两个Explorer.exe进程,线程数为1的进程是木马程序,选中并按按“结束进程”,确认把它中止,然后可以删除这些文件:
  
  c:\explorer.exe
  d:\explorer.exe
  c:\inetpub\scripts\root.exe
  d:\inetpub\scripts\root.exe
  c:\program files\common files\system\MSADC\root.exe
  d:\program files\common files\system\MSADC\root.exe
  
  4.正常启动,安装IIS 漏洞补丁并重新启动
  
  5.恢复被病毒修改的注册表:
  
  启动regedit,删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\W3SVC\Parameters\Virtual Roots 下的/C /D /MSADC /Scripts键值
  
  如果是Win2000系统:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\ CurrentVersion\WinLogon双击键值SFCDisable并将值设为0
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章