雖然本文介紹了手動清除“紅色代碼”蠕蟲的方法,但對於大多數普通用戶來說,我們認為采用微軟提供的解決方法或是選用專業的反病毒廠商的相關安全產品清除該蠕蟲,是最安全和便捷的方法。
背景資料
追蹤“紅色代碼”
同樣是有意針對中文 Windosws 操作系統的攻擊性病毒,CodeRed III 與 CodeRed II 都將對簡體中文/繁體中文 Windows 系統進行雙倍的攻擊。本文為您講述如何手動“紅色代碼III”蠕蟲。
微軟已經發布了一個安全公告MS01-033,同時提供了針對NT和2000系統的補丁:Windows NT 4.0、windows 2000 Professional,Server and Advanced Server。
需要說明的一點是,我們在這裡所介紹的清除方法對II、III型都有效,手動清除方法如下:
如果不幸中了此病毒,應該立即關閉所有 80 端口的 web 服務,避免病毒繼續傳播。
1.清除的 web 服務器中的兩個後門文件:/msadc/root.exe , /scripts/root.exe
這兩個文件的物理地址一般情況下默認為:
C:inetpubscriptsroot.exe
C:progra~1common~1systemMSADCroot.exe
2.清除本地硬盤中:c:eXPlorer.exe 和 d:explorer.exe
先要殺掉進程explorer.exe,打開任務管理器,選擇進程。檢查是否進程中有兩個“exploer.exe”。如果您找到兩個“exploer.exe”,說明木馬已經在您的機器上運行了,在菜單中選擇 查看 -> 選定列 -> 線程計數,按確定。這時您會發現顯示框中增加了新的一列“線程數”。檢查兩個“exploer.exe”, 顯示線程數為“1”的“exploer.exe”就是木馬程序。您應當結束這個進程。
之後,您就可以刪除掉C:exploer.exe和D:exploer.exe了,這兩個程序都設置了隱藏和只讀屬性。您需要設置“資源管理器”的查看->選項->隱藏文件為“顯示所有文件”才能看到它們。
3.清除病毒在注冊表中添加的項目:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
刪除鍵:SFCDisable 鍵值為:0FFFFFF9Dh
或將鍵值改為 0
( 設置為0FFFFFF9Dh後,將在登陸時禁止系統文件檢查 )
HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots
鍵:Scripts 鍵值為:,,217 改為 ,,201
( 這個鍵默認就是被打開的,不過如果沒有特別需要的話,可以關閉 )
( 因為很多漏洞都是利用了這個虛擬目錄下的文件攻擊的。)
HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots
鍵:msadc 鍵值為:,,217 改為 ,,201
( 同Scripts )
HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots
刪除鍵:c 鍵值為:c:,,217
( 它將本地硬盤中的 C 盤在 web 中共享為 c )
HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots
刪除鍵:d 鍵值為:d:,,217
( 它將本地硬盤中的 D 盤在 web 中共享為 d )
如果不刪除注冊表中的以上鍵,中毒服務器的本地硬盤 C、D 將被完全控制。
4.重新啟動系統,以確保 CodeRed.v3 徹底清除。
注意:如果要確保清除病毒後不再次被感染,請安裝微軟發布的補丁。