CodeRed病毒
程式判斷特徵:

為每個 flow的destination port=80, packets=3, size=144bytes。 雖然在 internet上,符合上述特性的正常行為還是存在(如使用ICQ),但是一般正常使用的電腦並不會在10分鐘內出現符合此特徵20次以上之流量,所以當網管人員發現貴單位電腦10分鐘內符合codered特徵的flow流量超過20次以上時就要加以檢查注意了。
codered :外部主機: flow>100,內部主機: flow>100,即判斷為中毒狀況。/> 

自我檢測:

【檢測方法一】
1.在『開始』→『程式集』→『附屬應用程式』→選擇『命令提示字元』開啟MS-DOS視窗
2.輸入netstat -an
☆正常情況:如下圖所示,在主機沒有使用WWW連線時,系統內並沒有特殊連線至對方port 80的情況,則該主機仍未受到CodeRed Worm感染,請盡速更新Service Pack 版本,以確保系統安全。



☆中毒情況:如果命令提示字元(MS-DOS)的視窗中出現如下圖的畫面,系統不斷的對外部主機的port 80發出連線請求,則代表該主機已經受到感染。



【檢測方法二】
檢查下列目錄中是否存在root.exe檔案或是explorer.exe檔案。如果存在以下特定目錄中的檔案,也有可能是中毒的情形。
c:\inetpub\scripts\root.exe
c:\progra~1\common~1\system\MSADC\root.exe
d:\inetpub\scripts\root.exe
d:\progra~1\common~1\system\MSADC\root.exe

c:\explorer.exe
d:\explorer.exe




趨勢科技提供之解決步驟:
一、此清除程式可判斷是否有感染此病毒,請依下列步驟執行:
  1. 請先將清除程式儲存至C:\test
  2. 請您至開始\執行,在開啟欄位中輸入command 按「enter]
  3. 之後會出現command prompt視窗
  4. 請輸入以下指令 C:\>cd test C:\test>fxcodec.exe 按「enter] 程式將會自動執行
  5. 即會出現"press any key to continue...",請按任何鍵,將會秀出是否有感染codered.a or .b or .c
二、若掃瞄出感染此病毒,請依下列步驟解毒:
  1. 請先將World Wide Web Publish Service 停止(或是將網路線拔掉)
  2. 請執行解毒程式
    FixCodeC.exe
  3. 若是IIS用戶,請連接至微軟網站下載更新檔
    IIS4(OS with NT4)
    IIS5(OS with Win2000)
  4. 執行完解毒程式,會產生fixcodec.log於系統中
    備註:此主要是記錄process和它所做的動作
  5. 重新啟動電腦
    備註:若您之前有將網路線拔掉,請再接回來
手動清除步驟:
  1. 請先中斷您的網路連線
  2. 若是IIS用戶,請連接至微軟網站下載更新檔
    IIS4(OS with NT4)
    IIS5(OS with Win2000)
  3. 請依下列路徑刪除ROOT.EXE 病毒檔:
    C:\INETPUB\SCRIPTS\ROOT.EXE
    C:\PROGRA~1\COMMON~1\SYSTEM\MSADC\ROOT.EXE
    D:\INETPUB\SCRIPTS\ROOT.EXE
    D:\PROGRA~1\COMMON~1SYSTEM\MSADC\ROOT.EXE
  4. 請您至開始|程式集|ms-dos模式
  5. 輸入以下指令:
    C:\windows>cd\ 並按[Enter]
    C:\>ATTRIB C:\EXPLORER.EXE -H -A -R 並按[Enter]
    C:\>DEL C:\EXPLORER.EXE 並按[Enter]
    C:\>ATTRIB D:\EXPLORER.EXE -H -A -R 並按[Enter]
    C:\>DEL D:\EXPLORER.EXE 並按[Enter]
    備註:請檢查各磁碟機的根目錄下是否含有EXPLORER.EXE檔,若有,請刪除
  6. 若無法刪除EXPLORER.EXE,可能系統正在使用中
  7. 請您至開始|關機|重新啟動至MS-DOS模式,並再依以上指令執行並刪除
  8. 請您選擇開始|執行,輸入regedit 並按[確定]
  9. 請選擇HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\ Winlogon
  10. 請您選擇右邊SFCDisable,按滑鼠右鍵選擇"修改"數值資料改為0 並按[確定]
  11. 請選擇HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro\Set\Services\W3SVC\ Parameters\ Virtual Roots將右邊
    /Scripts
    /msadc
    /c
    /d 刪除
  12. 請將防毒軟體更新至最新防毒軟體後進行掃瞄您的系統,將感染此病毒的檔案刪除
  13. 重新啟動電腦
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 Max 的頭像
    Max

    電氣外科醫MAX

    Max 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄