周六开始收到一些客户的求助信息:网络慢,严重丢包,交换机状态不正常(有的端口在反复重启),Web服务器连接不上等等。经观察发现,这其实都是CodeRED病毒在作怪!
CodeRED病毒扫描并攻击使用Win NT或 Win 2000 + IIS 的系统,利用IIS中Index Server的缓冲区溢出漏洞(文件idq.dll)入侵系统,修改注册表,加载木马程序以获得系统控制权,发作时利用大量的HTTP包进行DDOS攻击,使目标服务器或网络出现瘫痪或阻塞,无法提供正常的服务。
受感染的系统根据病毒变种的不同可能会观察到以下一些现象: c或(和)d盘根目录下可能会发现一个隐含的explorer.exe 大小为8K;\inetpub\script目录下可能会发现root.exe文件;\Program Files\Common Files\System\msadc目录下也可能有root.exe;机器运行很慢等。
如过使用sniffer,可能会观察到一些受感染的主机在发大量的http包,帧大小为62字节。有一台运行Win 2000的PC被感染后在3秒内发出的http包超过10,000个,同时这台主机也收到大量的icmp包。
sniffer建议用NAI的sniffer pro 4.5, 在交换环境下,须设置交换机才能捕捉到交换机上所有的通讯: Cataylst 4000/5000/6000用set span 命令配置,3500/2900 用port monitor 配置,1900用菜单上的monitor子菜单配置监视特性。
目前已知CodeRED至少有3个变种,还没有快捷简便的查杀方法。
临时的处理方法如下:
1.下载必要的补丁:如nt 的sp7, win 2000的sp2,并安装
2. 下载IIS 漏洞补丁(NT和2000补丁版本不同)
3. 关机,断开网络连接,启动到带命令行的维护模式将发现的上述文件删除(可能要先去掉系统,隐含和只读属性 attrib -s -h -r explorer.exe; del explorer.exe);也可以不关闭系统,CTRL-ALT-DEL启动任务管理器,查看进程,选菜单“查看”-“选择列”,选中“线程计数”项并确认。在进程列表中,有两个Explorer.exe进程,线程数为1的进程是木马程序,选中并按按“结束进程”,确认把它中止,然后可以删除这些文件:
c:\explorer.exe
d:\explorer.exe
c:\inetpub\scripts\root.exe
d:\inetpub\scripts\root.exe
c:\program files\common files\system\MSADC\root.exe
d:\program files\common files\system\MSADC\root.exe
4.正常启动,安装IIS 漏洞补丁并重新启动
5.恢复被病毒修改的注册表:
启动regedit,删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\W3SVC\Parameters\Virtual Roots 下的/C /D /MSADC /Scripts键值
如果是Win2000系统:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\ CurrentVersion\WinLogon双击键值SFCDisable并将值设为0