当前位置：傲看软件园 → 文章中心 → 电脑安全 → 安防技术

黑客攻防技术内幕-安全防入侵与防病毒基础(5)

减小字体

增大字体作者：风未起时来源：中国站长学院发布时间：2008-10-20 19:36:50

3.3 病毒防护修复(2)

3.3.2 手动清除红色代码III指南

本节将介绍手动清除红色代码蠕虫的方法，对于大多数普通用户来说，采用微软提供的解决方法或选用专业的反病毒厂商的相关安全产品清除该蠕虫是最安全和便捷的方法。

同样是有意针对中文 Windosws 操作系统的攻击性病毒，CodeRed III 与 CodeRed II 都会对简体中文/繁体中文 Windows 系统进行双倍的攻击。接下来将介绍如何手动清除红色代码III蠕虫。

微软已经发布了一个安全公告MS01-033，同时提供了针对Windows NT/2000系统的补丁程序，所包括的版本有Windows NT 4.0、Windows 2000 Professional、Server and Advanced Server。需要说明的一点是，这里所介绍的清除方法对II、III型都有效。

注意：

如果不幸中了此病毒，应该立即关闭所有 80 端口的 Web 服务，避免病毒继续传播。

(1) 清除Web 服务器中的2个后门文件/msadc/root.exe和/scripts/root.exe

这2个文件的物理地址一般情况下默认为：

C:\inetpub\scripts\root.exe

C:\progra~1\common~1\system\MSADC\root.exe

(2) 清除本地硬盘中C:\exploer.exe 和D:\exploer.exe

要清除本地硬盘中的C：\explorer.exe和D:\exploer.exe必须先要杀掉进程exploer.exe，打开任务管理器，选择【进程】。检查进程中是否有2个exploer.exe。如果找到2个exploer.exe，说明木马已经在计算机上运行了。在任务管理器的【进程】菜单中选择【查看】→【选定列】→【线程计数】命令，单击【确定】按钮。这时会发现显示框中增加了新的一列线程数。检查两个exploer.exe，显示线程数为1的exploer.exe就是木马程序，应当结束这个进程。之后就可以删除C:\exploer.exe和D:\exploer.exe了。

提示：

这两个程序都设置了隐藏和只读属性。需要在【资源管理器】里选择【查看】→【选项】命令然后取消选择【隐藏文件】并改为选择【显示所有文件】选项时才能看到它们。

(3) 清除病毒在注册表中添加的项目：

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

删除键：SFCDisable 键值为：0FFFFFF9Dh 或将键值改为 0。

提示：

设置为0FFFFFF9Dh后，将在登录时禁止系统文件检查。

HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\

键：Scripts 键值为：,,217 改为 ,,201

提示：

这个键是默认被打开的，不过如果没有特别需要的话可以关闭，因为很多漏洞都是利用了这个虚拟目录下的文件进行攻击的。

HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\

键：msadc 键值为：,,217 改为 ,,201

HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\

删除键：c 键值为c:,,217

提示：

它将本地硬盘中的 C 盘在Web 中共享为C'。

HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\

删除键：d 键值为d:,,217

提示：

它将本地硬盘中的 D 盘在Web 中共享为 d。

注意：

如果不删除注册表中的以上键，中毒服务器的本地硬盘 C和D盘将被完全控制。

(4) 重新启动系统，以确保 CodeRed.v3 彻底清除。

注意：

如果要确保清除病毒后不会再次被感染，请安装微软发布的补丁程序。

3.3.3 快乐时光清除指南

1. 病毒介绍

快乐时光是一个Visual Basic Script的病毒，它能感染HTML、HTM、ASP、VBS和HTT的文件。它通过Outlook Express来传播，但是它不会将任何文件附加到邮件信息上。而是利用一段隐藏在一个HTML文件中的脚本代码以电子邮件的背景方式来运行。感染该病毒后，计算机的速度明显减慢，并且会出现桌面被换的问题。应该尽快用查找功能查看一下有没有help.htm或者help.vbs文件，如果有的话就说明该计算机中了快乐时光病毒了。

2. 传播方式

这个病毒利用电子邮件传播到其他的系统。为达到这一目的，它将病毒代码隐藏在一个HTML文件中，同时将该HTML文件作为电子邮件的背景来运行。这个HTML文件包含着病毒的脚本。

3. 感染症状

如果系统当前的日期和月份之和等于13，病毒将停止感染HTML、HTM、ASP、VBS和HTT的文件，并将开始删除EXE和DLL的文件。病毒将在所有的本地和网络驱动器上执行这些操作。

另一方面，如下的文本将被包含在所有由病毒产生的文件和被感染的文件中：

Rem I am sorry! Happy time.

这个病毒将在它找到的C盘根目录下的第一个文件夹下创建HELP.HTA和HELP.VBS文件。这2个文件中包含有许多格式的病毒代码，这些病毒代码会在病毒感染不同类型的文件时被附加到被感染文件中。

其次，它将其自身以HTML文件的形式复制到Windows的文件夹中，HTML文件的文件名为HELP.HTM和UNTITLED.HTM。HELP.HTM会在用户的桌面设置为按Web页方式浏览时自动运行。为了达到这一目的，病毒修改了如下的注册表键值：

HKEY_CURRENT_USER\Control Panel\Desktop\WallPaper="C:\WINDOWS\Help.htm”

4. 感染的方式

该病毒利用其生成的UNTITLED.HTM文件来确保其能够通过电子邮件传播。这个文件会被作为电子邮件的默认背景来运行。为了实现这一点，病毒修改如下的注册表的入口：

HKEY_CURRENT_USER\Identities\{USERID}\Software\Microsoft\OutlookExpress\5.0\Mail\ Message Send HTML="1"

HKEY_CURRENT_USER\Identities\{USERID}\Software\Microsoft\OutlookExpress\5.0\Mail\ Compose Use Stationery="1"

HKEY_CURRENT_USER\Identities\{USERID}\Software\Microsoft\OutlookExpress\5.0\Mail\ Stationery Name="C:\WINDOWS\Untitled.htm"

此处{USERID}的值与当前的系统用户有关。这个值将能从如下的注册表的入口得到：

HKEY_CURRENT_USER\Identities\Default User ID="{USERID}"

然后，病毒将查找位于Windows\Web文件夹中所有的HTT文件，该文件夹是HTML浏览所在的位置。如果按Web页方式浏览的选项在【我的电脑】或【控制面板】中是被选中的病毒将在打开这些文件夹时进行感染。

一旦上面所有动作都顺利完成后，在病毒下一次运行时，它将在所有的驱动器中(包括本地和远程的驱动器)搜寻所有扩展名为HTML、HTM、ASP和VBS的文件进行感染。为了避免这些被感染的文件在运行时返回错误信息，病毒将根据其传染文件的类型将自身代码打包并作出标记。同时，它也试图寻找被感染文件中的电子邮件地址，并尝试向这些地址发送邮件。

如果被感染系统的当前日期和月份之和等于13，它的行为将从传染转变成为删除文件，此时它会寻找和删除所有在本地和远程驱动器中扩展名为EXE和DLL的文件。

此外，该病毒还会在系统注册表中创建3个键值，并且键值是随着病毒感染的深入而发生变化。其中包括它所感染文件数量的计算机和包含被感染(和删除)文件的名称和路径，键值如下：

HKEY_CURRENT_USER\Software\Help\Count="x" ; 病毒感染文件的数量

HKEY_CURRENT_USER\Software\Help\FileName="nombrefichero" ; 被感染的文件名和路径

HKEY_CURRENT_USER\Software\Help\wallPaper="C:\WINDOWS\Help.htm" ;

最后，病毒会试图自动向外发送电子邮件，这取决于两个条件：一方面计数器必须是366的倍数；另一方面还与当时系统时钟的秒数的奇偶有关。如果两个条件都满足，病毒就会向外发送邮件，并附带一个名为untitled.htm的附件。