编者:虽然本文介绍了手动清除“红色代码”蠕虫的方法,但对于大多数普通用户来说,我们认为采用微软提供的解决方法或是选用专业的反病毒厂商的相关安全产品清除该蠕虫,是最安全和便捷的方法。
背景资料
追踪“红色代码”
同样是有意针对中文 Windosws 操作系统的攻击性病毒,CodeRed III 与 CodeRed II 都将对简体中文/繁体中文 Windows 系统进行双倍的攻击。本文为您讲述如何手动“红色代码III”蠕虫。
微软已经发布了一个安全公告MS01-033,同时提供了针对NT和2000系统的补丁:Windows NT 4.0、Windows 2000 Professional,Server and Advanced Server。
需要说明的一点是,我们在这里所介绍的清除方法对II、III型都有效,手动清除方法如下:
如果不幸中了此病毒,应该立即关闭所有 80 端口的 web 服务,避免病毒继续传播。
1.清除的 web 服务器中的两个后门文件:/msadc/root.exe , /scripts/root.exe
这两个文件的物理地址一般情况下默认为:
C:\inetpub\scripts\root.exe
C:\progra~1\common~1\system\MSADC\root.exe
2.清除本地硬盘中:c:\explorer.exe 和 d:\explorer.exe
先要杀掉进程explorer.exe,打开任务管理器,选择进程。检查是否进程中有两个“exploer.exe”。如果您找到两个“exploer.exe”,说明木马已经在您的机器上运行了,在菜单中选择 查看 -> 选定列 -> 线程计数,按确定。这时您会发现显示框中增加了新的一列“线程数”。检查两个“exploer.exe”, 显示线程数为“1”的“exploer.exe”就是木马程序。您应当结束这个进程。
之后,您就可以删除掉C:\exploer.exe和D:\exploer.exe了,这两个程序都设置了隐藏和只读属性。您需要设置“资源管理器”的查看->选项->隐藏文件为“显示所有文件”才能看到它们。
3.清除病毒在注册表中添加的项目:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
删除键:SFCDisable 键值为:0FFFFFF9Dh
或将键值改为 0
( 设置为0FFFFFF9Dh后,将在登陆时禁止系统文件检查 )
HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\
键:Scripts 键值为:,,217 改为 ,,201
( 这个键默认就是被打开的,不过如果没有特别需要的话,可以关闭 )
( 因为很多漏洞都是利用了这个虚拟目录下的文件攻击的。)
HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\
键:msadc 键值为:,,217 改为 ,,201
( 同Scripts )
HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\
删除键:c 键值为:c:\,,217
( 它将本地硬盘中的 C 盘在 web 中共享为 c )
HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\
删除键:d 键值为:d:\,,217
( 它将本地硬盘中的 D 盘在 web 中共享为 d )
如果不删除注册表中的以上键,中毒服务器的本地硬盘 C、D 将被完全控制。
4.重新启动系统,以确保 CodeRed.v3 彻底清除。
注意:如果要确保清除病毒后不再次被感染,请安装微软发布的补丁。 (责任编辑 吴北)