病毒名称(中文):
红色代码II
病毒别名:
威胁级别:
★★★☆☆
病毒类型:
其它
病毒长度:
8192
影响系统:
WinNTWin2000WinXPWin2003
病毒行为:
“红色代码”病毒再次爆发,对全球数十万台电脑发动了进攻。“红色代码”蠕虫能够迅速传播,并造成大范围的访问速度下降甚至阻断。“红色代码”蠕虫造成的破坏主要是涂改网页,对网络上的其它服务器进行攻击,被攻击的服务器又可以继续攻击其它服务器。
“红色代码2”是“红色代码”的改良版,。病毒作者对病毒体作了很多优化,同样可以对“红色代码”病毒可攻击的联网计算机发动进攻,这种新变型不仅仅只对英文系统发动攻击,而是攻击任何语言的系统。而且这种病毒还可以在遭到攻击的机器上植入“特洛伊木马”,使得被攻击的机器“后门大开”。
1、病毒运行后,这个文件首先调用explorer.exe,然后修改注册表,设置键值
SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Sfcdisable=-99
2、禁止系统缓存,也会设置如下键值:
SYSTEM\CurrentControlSet\Services\W3SVCParameters\VirtualRoots\/C=c:\,,217
SYSTEM\CurrentControlSet\Services\W3SVCParameters\VirtualRoots\/D=d:\,,217
而且改变注册值:
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\/Scripts
和
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\/MSADC
这些设置会尽可能的运行相关目录下的root.exe文件并可控制机器。同时他们还可以在c:\或D:\进行远程控制,可以使黑客在远程取得对服务器的完全控制。它还拥有极强的可扩充性,通过程序自行完成的木马植入工作,使得病毒作者可以通过改进此程序来达到不同的破坏目的。当机器日期大于2002年10月时,病毒将强行重起计算机。