ITPub博客

首页 > 应用开发 > IT综合 > 应对红色代码的六个实用方法 (转)

应对红色代码的六个实用方法 (转)

原创 IT综合 作者:worldblog 时间:2007-12-09 09:18:33 0 删除 编辑
应对红色代码的六个实用方法 (转)[@more@]应对红色代码的六个实用方法

[ 作者: 中国计算机报   添加时间: 2001-9-1 11:50:34 ]


近期在网络界闹得最沸沸扬扬的莫过于红色代码了。这里我们对其解决方法提供如下的建议:

方法一 由于windows2000下,IIS是系统的默认安装,但是对于绝大多数的个人用户以及服务器而言,它毫无用处,并且漏洞很多,如果没有必要,最好卸载。
方法二 微软已经提供了一个工具叫做“Code Red II Cleaner”来消除这种蠕虫。您可以在下列地址下载此工具:http://www.microsoft.com/DOWNLOADs/Release.ASP?ReleaseID=31878
方法三 手工杀除CodeRedII蠕虫:
1. 停止IIS服务,以防止蠕虫的进一步攻击

2. 打开任务管理器,选择“进程”。检查是否进程中有两个“exploer.exe”,如果您找到两个“exploer.exe”,说明木马已经在您的机器上运行了,您应当立刻杀掉木马程序;否则,说明您还没有执行木马程序,您可以转到第四步。

3. 在菜单中选择“查看|选定列|线程计数”,按确定。这时您会发现显示框中增加了新的一列“线程数”。检查两个“exploer.exe”, 显示只有一个线程的“exploer.exe”就是木马程序,您应当立刻结束这个进程。

4. 您需要删除C:exploer.exe和D:exploer.exe。注意:这两个程序都设置了隐藏和只读属性。您需要设置资源管理器的“查看|选项|隐藏文件”为“显示所有文件”,才能看到它们。

5. 您需要删除root.exe. 它们在IIS的scripts和MSADC目录下。

6. 修复蠕虫创建的注册表项(如果您发现木马已经在运行的话):首先备份注册表,然后使用regedit,找到下列表项: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices W3SVCParametersVirtual Roots,将“/C”和“/D”项删除。将“/scripts”和“/MSADC”项中“217”改成“201”,HKEY_LOCAL_MACHINESoftware Microsoftwindows NTCurrentVersionWinLogonsfCDisable,蠕虫已经将其变为0FFFFFF9Dh,您应当将这一项的值改变为0。

7. 安装补丁或者采取其他措施来保护您不再继续受到蠕虫的威胁。

8. 重新启动系统,以消除内存中的蠕虫。

方法四 采用先进的防病毒软件对红色代码进行防治,国产防病毒产品,如瑞星、KV3000、Kill等对红色代码病毒均有良好的查杀能力。
方法五 利用中科网威入侵侦测系统(IDS)对网络异常行为进行实时监控,由于红色代码原理还是利用了系统漏洞从而进行扩散传播,即使是安装了木马,也是在对系统漏洞攻击之后,得到权限才能植入后门程序,所以如果IDS发现了针对系统漏洞的攻击行为,及时报警并且阻断行为,在效果上也达到了防治红色代码病毒的目的。
方法六 安装代理防火墙,在防火墙一级对这种危险的请求进行过滤,使防火墙内部系统的服务器更安全


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10752043/viewspace-990209/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
  • 博文量
    6241
  • 访问量
    2448862