应对红色代码的六个实用方法

应对红色代码的六个实用方法

[ 作者: 中国计算机报   添加时间: 2001-9-1 11:50:34 ]


近期在网络界闹得最沸沸扬扬的莫过于红色代码了。这里我们对其解决方法提供如下的建议：

方法一 由于Windows2000下，IIS是系统的默认安装，但是对于绝大多数的个人用户以及服务器而言，它毫无用处，并且漏洞很多，如果没有必要，最好卸载。
方法二 微软已经提供了一个工具叫做“Code Red II Cleaner”来消除这种蠕虫。您可以在下列地址下载此工具：http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878
方法三 手工杀除CodeRedII蠕虫：
1. 停止IIS服务，以防止蠕虫的进一步攻击。

2. 打开任务管理器，选择“进程”。检查是否进程中有两个“exploer.exe”，如果您找到两个“exploer.exe”，说明木马已经在您的机器上运行了，您应当立刻杀掉木马程序；否则，说明您还没有执行木马程序，您可以转到第四步。

3. 在菜单中选择“查看|选定列|线程计数”，按确定。这时您会发现显示框中增加了新的一列“线程数”。检查两个“exploer.exe”, 显示只有一个线程的“exploer.exe”就是木马程序，您应当立刻结束这个进程。

4. 您需要删除C:/exploer.exe和D:/exploer.exe。注意：这两个程序都设置了隐藏和只读属性。您需要设置资源管理器的“查看|选项|隐藏文件”为“显示所有文件”，才能看到它们。

5. 您需要删除root.exe. 它们在IIS的scripts和MSADC目录下。

6. 修复蠕虫创建的注册表项（如果您发现木马已经在运行的话）：首先备份注册表，然后使用regedit,找到下列表项： HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ W3SVC/Parameters/Virtual Roots，将“/C”和“/D”项删除。将“/scripts”和“/MSADC”项中“217”改成“201”，HKEY_LOCAL_MACHINE/Software/ Microsoft/Windows NT/CurrentVersion/WinLogon/SFCDisable，蠕虫已经将其变为0FFFFFF9Dh，您应当将这一项的值改变为0。

7. 安装补丁或者采取其他措施来保护您不再继续受到蠕虫的威胁。

8. 重新启动系统，以消除内存中的蠕虫。

方法四 采用先进的防病毒软件对红色代码进行防治，国产防病毒产品，如瑞星、KV3000、Kill等对红色代码病毒均有良好的查杀能力。
方法五 利用中科网威入侵侦测系统（IDS）对网络异常行为进行实时监控，由于红色代码原理还是利用了系统漏洞从而进行扩散传播，即使是安装了木马，也是在对系统漏洞攻击之后，得到权限才能植入后门程序，所以如果IDS发现了针对系统漏洞的攻击行为，及时报警并且阻断行为，在效果上也达到了防治红色代码病毒的目的。
方法六 安装代理型防火墙，在防火墙一级对这种危险的请求进行过滤，使防火墙内部系统的服务器更安全。