CodeRed病毒
程式判斷特徵:
為每個 flow的destination port=80, packets=3, size=144bytes。 雖然在 internet上,符合上述特性的正常行為還是存在(如使用ICQ),但是一般正常使用的電腦並不會在10分鐘內出現符合此特徵20次以上之流量,所以當網管人員發現貴單位電腦10分鐘內符合codered特徵的flow流量超過20次以上時就要加以檢查注意了。
codered :外部主機: flow>100,內部主機: flow>100,即判斷為中毒狀況。
自我檢測:
【檢測方法一】
1.在『開始』→『程式集』→『附屬應用程式』→選擇『命令提示字元』開啟MS-DOS視窗
2.輸入netstat -an
☆正常情況:如下圖所示,在主機沒有使用WWW連線時,系統內並沒有特殊連線至對方port 80的情況,則該主機仍未受到CodeRed Worm感染,請盡速更新Service Pack 版本,以確保系統安全。
☆中毒情況:如果命令提示字元(MS-DOS)的視窗中出現如下圖的畫面,系統不斷的對外部主機的port 80發出連線請求,則代表該主機已經受到感染。
【檢測方法二】
檢查下列目錄中是否存在root.exe檔案或是explorer.exe檔案。如果存在以下特定目錄中的檔案,也有可能是中毒的情形。
c:\inetpub\scripts\root.exe
c:\progra~1\common~1\system\MSADC\root.exe
d:\inetpub\scripts\root.exe
d:\progra~1\common~1\system\MSADC\root.exe
c:\explorer.exe
d:\explorer.exe
趨勢科技提供之解決步驟:
一、此清除程式可判斷是否有感染此病毒,請依下列步驟執行:
程式判斷特徵:
為每個 flow的destination port=80, packets=3, size=144bytes。 雖然在 internet上,符合上述特性的正常行為還是存在(如使用ICQ),但是一般正常使用的電腦並不會在10分鐘內出現符合此特徵20次以上之流量,所以當網管人員發現貴單位電腦10分鐘內符合codered特徵的flow流量超過20次以上時就要加以檢查注意了。
codered :外部主機: flow>100,內部主機: flow>100,即判斷為中毒狀況。
自我檢測:
【檢測方法一】
1.在『開始』→『程式集』→『附屬應用程式』→選擇『命令提示字元』開啟MS-DOS視窗
2.輸入netstat -an
☆正常情況:如下圖所示,在主機沒有使用WWW連線時,系統內並沒有特殊連線至對方port 80的情況,則該主機仍未受到CodeRed Worm感染,請盡速更新Service Pack 版本,以確保系統安全。
☆中毒情況:如果命令提示字元(MS-DOS)的視窗中出現如下圖的畫面,系統不斷的對外部主機的port 80發出連線請求,則代表該主機已經受到感染。
【檢測方法二】
檢查下列目錄中是否存在root.exe檔案或是explorer.exe檔案。如果存在以下特定目錄中的檔案,也有可能是中毒的情形。
c:\inetpub\scripts\root.exe
c:\progra~1\common~1\system\MSADC\root.exe
d:\inetpub\scripts\root.exe
d:\progra~1\common~1\system\MSADC\root.exe
c:\explorer.exe
d:\explorer.exe
趨勢科技提供之解決步驟:
一、此清除程式可判斷是否有感染此病毒,請依下列步驟執行:
- 請先將清除程式儲存至C:\test
- 請您至開始\執行,在開啟欄位中輸入command 按「enter]
- 之後會出現command prompt視窗
- 請輸入以下指令 C:\>cd test C:\test>fxcodec.exe 按「enter] 程式將會自動執行
- 即會出現"press any key to continue...",請按任何鍵,將會秀出是否有感染codered.a or .b or .c
- 請先將World Wide Web Publish Service 停止(或是將網路線拔掉)
- 請執行解毒程式
FixCodeC.exe - 若是IIS用戶,請連接至微軟網站下載更新檔
IIS4(OS with NT4)
IIS5(OS with Win2000) - 執行完解毒程式,會產生fixcodec.log於系統中
備註:此主要是記錄process和它所做的動作 - 重新啟動電腦
備註:若您之前有將網路線拔掉,請再接回來
- 請先中斷您的網路連線
- 若是IIS用戶,請連接至微軟網站下載更新檔
IIS4(OS with NT4)
IIS5(OS with Win2000) - 請依下列路徑刪除ROOT.EXE 病毒檔:
C:\INETPUB\SCRIPTS\ROOT.EXE
C:\PROGRA~1\COMMON~1\SYSTEM\MSADC\ROOT.EXE
D:\INETPUB\SCRIPTS\ROOT.EXE
D:\PROGRA~1\COMMON~1SYSTEM\MSADC\ROOT.EXE - 請您至開始|程式集|ms-dos模式
- 輸入以下指令:
C:\windows>cd\ 並按[Enter]
C:\>ATTRIB C:\EXPLORER.EXE -H -A -R 並按[Enter]
C:\>DEL C:\EXPLORER.EXE 並按[Enter]
C:\>ATTRIB D:\EXPLORER.EXE -H -A -R 並按[Enter]
C:\>DEL D:\EXPLORER.EXE 並按[Enter]
備註:請檢查各磁碟機的根目錄下是否含有EXPLORER.EXE檔,若有,請刪除 - 若無法刪除EXPLORER.EXE,可能系統正在使用中
- 請您至開始|關機|重新啟動至MS-DOS模式,並再依以上指令執行並刪除
- 請您選擇開始|執行,輸入regedit 並按[確定]
- 請選擇HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\ Winlogon
- 請您選擇右邊SFCDisable,按滑鼠右鍵選擇"修改"數值資料改為0 並按[確定]
- 請選擇HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro\Set\Services\W3SVC\ Parameters\ Virtual Roots將右邊
/Scripts
/msadc
/c
/d 刪除 - 請將防毒軟體更新至最新防毒軟體後進行掃瞄您的系統,將感染此病毒的檔案刪除
- 重新啟動電腦
全站熱搜
留言列表
