冠群金辰彻底解决红色代码蠕虫病毒(2)

　　4、蠕虫程序在C:盘和D:盘的根目录下生成一个大小为8,192字节的EXPLORER.EXE木马程序, 然后重启系统, 执行木马程序。这个木马程序首先运行WINDOWS的EXPLORER程序，然后通过修改相关注册表键值使WINDOWS系统丧失对系统文件的保护能力。

　　HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonSFCDisable=0xFFFFFF9D

　　这一设置的缺省值为0。之后，木马程序通过修改注册表以下键值创建两个虚拟IIS目录C和D，分别映射到系统的C:盘和D:盘。

　　HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots

　　这些虚拟目录被赋予读写及可执行权限, 这样木马程序通过IIS向所有黑客提供了对被感染服务器C:盘和D:盘的完全控制能力。在这之后，木马程序完成了它的感染周期，并会每各10分钟重复进行以上提到的注册表项修改。

　　清除已感染的CodeRed红色代码

　　KILL26.50版本增加了对木马程序的检测和实时监测的能力。用KILL网络防病毒软件，采用如下清除方法：

　　对于第一代 CodeRed 红色代码:

　　由于第一代CodeRed不包含木马程序，因此只需从以下微软公司的网站下载补丁文件，进行安装然后重启系统即可。

　　对于第二代 CodeRed 红色代码:

　　（1）从微软公司的网站下载补丁文件http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms01-033.asp)，将其安装在Windows2000/NT系统上，修补IIS系统的漏洞。(需sp1)

　　（2）删除C:explorer.exe和D:explorer.exe文件（这两个文件为隐藏、只读文件）

　　（3）修改注册表中被病毒修改的键值：

　　HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonSFCDisable=0xFFFFFF9D，改为0；

　　（4）把HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots中对于c:和d: 的完全控制键删除。（此两个修改步骤可使用冠群金辰公司提供的自动修改文件代替。下载地址：http://sc.kill.com.cn/maindoc/virus/download/fix_codered.inf）

　　（5）删除C:盘及D:盘 inetpubscripts ，program filescommon filessystemmsadc目录中root.exe文件

　　（6）重启计算机

|首　页||上一页|