应对红色代码的六个实用方法
[ 作者: 中国计算机报 添加时间: 2001-9-1 11:50:34 ]
近期在网络界闹得最沸沸扬扬的莫过于红色代码了。这里我们对其解决方法提供如下的建议:
方法一 由于Windows2000下,IIS是系统的默认安装,但是对于绝大多数的个人用户以及服务器而言,它毫无用处,并且漏洞很多,如果没有必要,最好卸载。
方法二 微软已经提供了一个工具叫做“Code Red II Cleaner”来消除这种蠕虫。您可以在下列地址下载此工具:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878
方法三 手工杀除CodeRedII蠕虫:
1. 停止IIS服务,以防止蠕虫的进一步攻击。
2. 打开任务管理器,选择“进程”。检查是否进程中有两个“exploer.exe”,如果您找到两个“exploer.exe”,说明木马已经在您的机器上运行了,您应当立刻杀掉木马程序;否则,说明您还没有执行木马程序,您可以转到第四步。
3. 在菜单中选择“查看|选定列|线程计数”,按确定。这时您会发现显示框中增加了新的一列“线程数”。检查两个“exploer.exe”, 显示只有一个线程的“exploer.exe”就是木马程序,您应当立刻结束这个进程。
4. 您需要删除C:\exploer.exe和D:\exploer.exe。注意:这两个程序都设置了隐藏和只读属性。您需要设置资源管理器的“查看|选项|隐藏文件”为“显示所有文件”,才能看到它们。
5. 您需要删除root.exe. 它们在IIS的scripts和MSADC目录下。
6. 修复蠕虫创建的注册表项(如果您发现木马已经在运行的话):首先备份注册表,然后使用regedit,找到下列表项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ W3SVC\Parameters\Virtual Roots,将“/C”和“/D”项删除。将“/scripts”和“/MSADC”项中“217”改成“201”,HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows NT\CurrentVersion\WinLogon\SFCDisable,蠕虫已经将其变为0FFFFFF9Dh,您应当将这一项的值改变为0。
7. 安装补丁或者采取其他措施来保护您不再继续受到蠕虫的威胁。
8. 重新启动系统,以消除内存中的蠕虫。
方法四 采用先进的防病毒软件对红色代码进行防治,国产防病毒产品,如瑞星、KV3000、Kill等对红色代码病毒均有良好的查杀能力。
方法五 利用中科网威入侵侦测系统(IDS)对网络异常行为进行实时监控,由于红色代码原理还是利用了系统漏洞从而进行扩散传播,即使是安装了木马,也是在对系统漏洞攻击之后,得到权限才能植入后门程序,所以如果IDS发现了针对系统漏洞的攻击行为,及时报警并且阻断行为,在效果上也达到了防治红色代码病毒的目的。
方法六 安装代理型防火墙,在防火墙一级对这种危险的请求进行过滤,使防火墙内部系统的服务器更安全。
