“紅色代碼III”手動清除指南
(Seraph Chutium 2001年08月10日 16:13)
編者:雖然本文介紹了手動清除“紅色代碼”蠕蟲的方法,但對於大多數普通用戶來說,我們認爲採用微軟提供的解決方法或是選用專業的反病毒廠商的相關安全產品清除該蠕蟲,是最安全和便捷的方法。
背景資料
追蹤“紅色代碼”
同樣是有意針對中文 Windosws 操作系統的攻擊性病毒,CodeRed III 與 CodeRed II 都將對簡體中文/繁體中文 Windows 系統進行雙倍的攻擊。本文爲您講述如何手動“紅色代碼III”蠕蟲。
微軟已經發布了一個安全公告MS01-033,同時提供了針對NT和2000系統的補丁:Windows NT 4.0、Windows 2000 Professional,Server and Advanced Server。
需要說明的一點是,我們在這裏所介紹的清除方法對II、III型都有效,手動清除方法如下:
如果不幸中了此病毒,應該立即關閉所有 80 端口的 web 服務,避免病毒繼續傳播。
1.清除的 web 服務器中的兩個後門文件:/msadc/root.exe , /scripts/root.exe
這兩個文件的物理地址一般情況下默認爲:
C:/inetpub/scripts/root.exe
C:/progra~1/common~1/system/MSADC/root.exe
2.清除本地硬盤中:c:/explorer.exe 和 d:/explorer.exe
先要殺掉進程explorer.exe,打開任務管理器,選擇進程。檢查是否進程中有兩個“exploer.exe”。如果您找到兩個“exploer.exe”,說明木馬已經在您的機器上運行了,在菜單中選擇 查看 -> 選定列 -> 線程計數,按確定。這時您會發現顯示框中增加了新的一列“線程數”。檢查兩個“exploer.exe”, 顯示線程數爲“1”的“exploer.exe”就是木馬程序。您應當結束這個進程。
之後,您就可以刪除掉C:/exploer.exe和D:/exploer.exe了,這兩個程序都設置了隱藏和只讀屬性。您需要設置“資源管理器”的查看->選項->隱藏文件爲“顯示所有文件”才能看到它們。
3.清除病毒在註冊表中添加的項目:
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/
刪除鍵:SFCDisable 鍵值爲:0FFFFFF9Dh
或將鍵值改爲 0
( 設置爲0FFFFFF9Dh後,將在登陸時禁止系統文件檢查 )
HKLM/SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/Virtual Roots/
鍵:Scripts 鍵值爲:,,217 改爲 ,,201
( 這個鍵默認就是被打開的,不過如果沒有特別需要的話,可以關閉 )
( 因爲很多漏洞都是利用了這個虛擬目錄下的文件攻擊的。)
HKLM/SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/Virtual Roots/
鍵:msadc 鍵值爲:,,217 改爲 ,,201
( 同Scripts )
HKLM/SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/Virtual Roots/
刪除鍵:c 鍵值爲:c:/,,217
( 它將本地硬盤中的 C 盤在 web 中共享爲 c )
HKLM/SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/Virtual Roots/
刪除鍵:d 鍵值爲:d:/,,217
( 它將本地硬盤中的 D 盤在 web 中共享爲 d )
如果不刪除註冊表中的以上鍵,中毒服務器的本地硬盤 C、D 將被完全控制。
4.重新啓動系統,以確保 CodeRed.v3 徹底清除。
注意:如果要確保清除病毒後不再次被感染,請安裝微軟發佈的補丁。