解決CodeRED問題

2019-11-04 20:41:22

字體：大中小

供稿：網(wǎng)友

　　周六開始收到一些客戶的求助信息：網(wǎng)絡(luò)慢，嚴(yán)重丟包，交換機(jī)狀態(tài)不正常(有的端口在反復(fù)重啟)，Web服務(wù)器連接不上等等。經(jīng)觀察發(fā)現(xiàn)，這其實(shí)都是CodeRED病毒在作怪！
　　
　　CodeRED病毒掃描并攻擊使用Win NT或 Win 2000 + IIS 的系統(tǒng)，利用IIS中Index Server的緩沖區(qū)溢出漏洞(文件idq.dll)入侵系統(tǒng)，修改注冊表，加載木馬程序以獲得系統(tǒng)控制權(quán)，發(fā)作時(shí)利用大量的HTTP包進(jìn)行DDOS攻擊，使目標(biāo)服務(wù)器或網(wǎng)絡(luò)出現(xiàn)癱瘓或阻塞，無法提供正常的服務(wù)。
　　
　　受感染的系統(tǒng)根據(jù)病毒變種的不同可能會(huì)觀察到以下一些現(xiàn)象： c或(和)d盤根目錄下可能會(huì)發(fā)現(xiàn)一個(gè)隱含的eXPlorer.exe 大小為8K；/inetpub/script目錄下可能會(huì)發(fā)現(xiàn)root.exe文件；/PRogram Files/Common Files/System/msadc目錄下也可能有root.exe;機(jī)器運(yùn)行很慢等。
　　
　　如過使用sniffer，可能會(huì)觀察到一些受感染的主機(jī)在發(fā)大量的http包,幀大小為62字節(jié)。有一臺運(yùn)行Win 2000的PC被感染后在3秒內(nèi)發(fā)出的http包超過10,000個(gè)，同時(shí)這臺主機(jī)也收到大量的icmp包。
　　
　　sniffer建議用NAI的sniffer pro 4.5, 在交換環(huán)境下，須設(shè)置交換機(jī)才能捕捉到交換機(jī)上所有的通訊: Cataylst 4000/5000/6000用set span 命令配置，3500/2900 用port monitor 配置，1900用菜單上的monitor子菜單配置監(jiān)視特性。
　　
　　目前已知CodeRED至少有3個(gè)變種，還沒有快捷簡便的查殺方法。
　　
　　臨時(shí)的處理方法如下：
　　
　　1.下載必要的補(bǔ)丁:如nt 的sp7, win 2000的sp2,并安裝
　　
　　2. 下載IIS 漏洞補(bǔ)丁(NT和2000補(bǔ)丁版本不同)
　　
　　3. 關(guān)機(jī)，斷開網(wǎng)絡(luò)連接，啟動(dòng)到帶命令行的維護(hù)模式將發(fā)現(xiàn)的上述文件刪除（可能要先去掉系統(tǒng)，隱含和只讀屬性 attrib -s -h -r explorer.exe; del explorer.exe）;也可以不關(guān)閉系統(tǒng)，CTRL-ALT-DEL啟動(dòng)任務(wù)治理器,查看進(jìn)程，選菜單“查看”->“選擇列”，選中“線程計(jì)數(shù)”項(xiàng)并確認(rèn)。在進(jìn)程列表中，有兩個(gè)Explorer.exe進(jìn)程，線程數(shù)為1的進(jìn)程是木馬程序，選中并按按“結(jié)束進(jìn)程”，確認(rèn)把它中止，然后可以刪除這些文件:
　　
　　c:/explorer.exe
　　d:/explorer.exe
　　c:/inetpub/scripts/root.exe
　　d:/inetpub/scripts/root.exe
　　c:/program files/common files/system/MSADC/root.exe
　　d:/program files/common files/system/MSADC/root.exe
　　
　　4.正常啟動(dòng)，安裝IIS 漏洞補(bǔ)丁并重新啟動(dòng)
　　
　　5.恢復(fù)被病毒修改的注冊表：
　　
　　啟動(dòng)regedit,刪除HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/ Services/W3SVC/Parameters/Virtual Roots 下的/C /D /MSADC /Scripts鍵值
　　
　　假如是Win2000系統(tǒng):HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/ CurrentVersion/WinLogon雙擊鍵值SFCDisable并將值設(shè)為0

上一篇：VLAN進(jìn)階：掌握VLAN管理，測試

下一篇：NAT的實(shí)現(xiàn)過程