CodeRed(红色代码)蠕虫病毒到目前为止有两个变种——CodeRed II和CodeRed.V3,与其说它们是变种不如说是改进版,因为该病毒结合了黑客技术。CodeRed II和CodeRed.V3是专门针对中文Windows NT/2000系统的病毒,通过修改系统设置,放置特洛伊木马程序预留后门,最终让受感染系统后门大开,无任何安全可言。
微软针对此病毒在http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 发布了一个安全公告。同时又针对Windows NT/2000系统提供了其他安全补丁程序地址为:
Windows NT 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
Windows 2000 Professional, Server and Advanced Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800
红色代码具有CodeRed.v3、CodeRed III、W32.Bady.C这几个别名。病毒入侵系统分初始化、感染、繁殖、安装木马等几个过程,笔者在此只针对CodeRed.v3谈谈如何发现和清除病毒的方法。
自2001年绿盟发现了Microsoft Windows 2000 IIS 5.0(中文系统)的UNICODE漏洞后,接着又有人发现了IIS 5.0的.ida、.idq的漏洞。我们要手工清除红色代码,首先也应知道该病毒入侵的过程。
一旦“红色代码”病毒入侵系统后,就将获取%SYSTEM%系统目录,并将cmd.exe文件加到:盘符:winntsystem32 cmd.exe末尾(“盘符”表示安装系统时的盘号,如默认安装系统为C:盘)。又将cmd.exe文件改名并复制到系统盘的下列目录:
inetpubscriptsroot.exe
progra~1common~1systemMSADCroot.exe
接着,就在系统盘(C:盘或D:盘)的根目录下创建一个explorer.exe文件,并往此文件写入二进制代码(木马程序),此文件大小为8192字节。蠕虫为何将此木马放于根目录下呢?因为Windows系统在执行任何可执行程序时,会先从系统盘根目录搜索同名程序,如果在根目录中发现此同名程序则执行,否则再查找下去。当作为Administrator用户登录系统时,先会从根目录搜索explorer.exe程序,如果系统没有安装SP2补丁程序,对于感染了“红色代码”的机器就会先执行此木马程序。
此木马程序运行后就会修改注册表的下列键值:
设置 HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrentVersionWinlogonSFCDisable为0xFFFFFF9D,设置为0xFFFFFF9D后,将完全消除对Windows系统文件的保护功能;
设置HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesW3SVCParametersVirtual RootsScripts”为 ,,217;
设置HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesW3SVCParametersVirtual Rootsmsadc 为 ,,217;
设置HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesW3SVCParametersVirtual Rootsc”为c:,,217 (共享C盘);
设置HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesW3SVCParametersVirtual Rootsd”为d:,,217 (共享D盘)。
知道了病毒的执行过程后,我们手工清除起来也比较容易了,如何知道系统是否中了“红色代码”病毒(当然是针对Windows NT/2000系统而言的,其他系统的用户请您放心好了)呢?首先,在“任务栏”上右击,选择“任务管理器”→“进程”,我们在“进程”列表中仔细查找是否存在两个explorer.exe进程,如果存在那就糟了,那肯定是系统中了“红色代码”病毒。此时也不用急,我们来一步步清除。在“任务管理器”的菜单栏中选择“查看”→“选择列”,在“选择列”框中选中“线程计数”复选项,然后单击“确定”按钮。这时您会发现“任务管理器”的进程显示框中增加了新的一列“线程数”。检查两个explorer.exe的线程数,线程数显示为“1”的explorer.exe就是木马程序。此时,您应该结束这个进程。
现在可以手工清除“红色代码”病毒了,步骤如下:
(1) 首先,删除Web服务器中的root.exe文件,其物理地址一般为:
盘符:inetpubscriptsroot.exe
盘符:progra~1common~1systemMSADCroot.exe
(2) 除本地系统盘根目录中的explorer.exe文件,此时,您可能直接看不到此文件,因为此木马在安装时就被设置为“隐藏”和“只读”属性,此时需要在“Windows 资源管理器”中的“工具”→“文件夹选项”→“查看”的“高级设置”框中选中“显示所有文件和文件夹”选项才能看到此文件。
(3)修改病毒在注册表中添加或修改的键值:
HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon将SFCDisable 键值改为0(系统文件保护检查)
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices W3SVCParametersVirtual Roots,将病毒修改的Scripts 键值,,217 改为 ,,201 ( 这个键系统默认是被打开的,不过如果没有特别需要的话,可以关闭),很多漏洞都是利用了这个虚拟目录下的文件进行攻击的。
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesW3SVCParametersVirtual Roots,将病毒修改的msadc 键值,,217 改为,,201(与Scripts键值相同)。
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesW3SVCParametersVirtual Roots,将c键删除,c 键值为c:,,217(此键值将本地硬盘中的C盘在 Web中设为共享C)。
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesW3SVCParametersVirtual Roots,将d键删除,d 键值为d:,,217(此键值将本地硬盘中的D盘在Web中设为共享D)。
如果不删除注册表中的以上键值,被“红色代码”病毒入侵了的Windows服务器的本地硬盘C和D将被完全暴露出来,无任何安全可言。
(4)完成以上操作后再重新启动系统,以确保 CodeRed.v3被彻底清除掉。
如果要确保清除病毒后不再被“红色代码”病毒所感染,就需要安装微软发布的补丁程序。
作者:方红琴
