紅色程式碼病毒特性
紅色程式碼病毒利用IIS的緩衝區溢位漏洞,通過TCP的80埠傳播,並且該病毒變種在感染系統後會釋放出黑客程式。下面由小編給你做出詳細的介紹!希望對你有幫助!歡迎回訪網站,謝謝!
:
一、攻擊的目標系統:
1、安裝Indexing services 和IIS 4.0 或IIS 5.0的Windows 2000系統
2、安裝Index Server 2.0和IIS 4.0 或IIS 5.0的Microsoft Windows NT 4.0系統
二、如何判定遭受“紅色程式碼II”病毒攻擊
1、在WINNT\SYSTEM32\LOGFILES\W3SVC1目錄下的日誌檔案中是否含有以下內容
GET,/default.ida,
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a,
如果發現這些內容,那麼該系統已經遭受“紅色程式碼II”的攻擊。
2、使用命令netstat –a
如果在1025以上端口出現很多SYN-SENT連線請求,或者1025號以上的大量埠處於Listening狀態,那麼該系統已經遭受“紅色程式碼II”病毒的感染。
3、如果在以下目錄中存在Root.exe檔案,說明系統已被感染。
C:\inetpub\Scripts\Root.exe
D:\inetpub\Scripts\Root.exe
C:\progra~1\Common~1\System\MSADC\Root.exe
D:\Progra~1\Common~1\System\MSADC\Root.exe
同時,“紅色程式碼II”還會釋放出以下兩個檔案C:\Explorer.exe or D:\Explorer.exe。這兩個檔案都是木馬程式。
4、由於遭受“紅色程式碼II”病毒的攻擊,NT伺服器中的Web服務和Ftp服務會異常中止。
”人還:
電腦病毒沒辦法徹底清除怎麼辦