什么是Code Red電腦病毒!通過利用微軟Internet Information Server的漏洞，2001年出現(xiàn)的Code Red病毒開始將網(wǎng)絡(luò)服務(wù)器作為攻擊目標(biāo)。下面由學(xué)習(xí)啦小編給你做出詳細(xì)的code red介紹!希望對你有幫助!

　　code red介紹如下：

　　這種病毒的危險(xiǎn)之處在于，它并不需要開啟郵件附件或執(zhí)行文件，只要計(jì)算機(jī)連接至網(wǎng)絡(luò)，它便會使其無法正常顯示網(wǎng)頁。Code Red造成了26億美元的經(jīng)濟(jì)損失，受感染計(jì)算機(jī)多達(dá)100萬部。在不到一周的時(shí)間里，該病毒搞垮了超過40萬部服務(wù)器，就連白宮的網(wǎng)頁服務(wù)器也沒能幸免。

　　紅色代碼III病毒檔案

　　警惕程度：★★★★

　　發(fā)作時(shí)間：隨機(jī)

　　病毒類型：內(nèi)存病毒

　　傳播方式：內(nèi)存

　　感染對象：內(nèi)存

　　病毒介紹：

　　該病毒是給全球的企業(yè)和個(gè)人造成了26.2億美元經(jīng)濟(jì)損失的“紅色代碼”病毒的改進(jìn)版本!它攻擊安裝了IIS服務(wù)程序的win2000系統(tǒng)的計(jì)算機(jī)，本身無文件形式，只存在于內(nèi)存中，同時(shí)分成數(shù)百份線程，在局域網(wǎng)內(nèi)瘋狂傳播，瞬間導(dǎo)致被感染的網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)用戶只能選用有內(nèi)存監(jiān)控的反病毒產(chǎn)品，將全網(wǎng)的內(nèi)存監(jiān)控同時(shí)打開并進(jìn)行全網(wǎng)統(tǒng)一殺毒才能清除該病毒。

　　病毒的發(fā)現(xiàn)與清除：

　　此病毒會有如下特征，如果用戶發(fā)現(xiàn)計(jì)算機(jī)中有這些特征，則很有可能中了此病毒，可以按照下面所說的方法手工清除“紅色代碼III(Junk.Codered.f)”病毒。

　　1. 病毒會在內(nèi)存中建立300個(gè)到600個(gè)病毒線程，病毒在內(nèi)存中瘋狂傳染時(shí)會導(dǎo)致系統(tǒng)資源被100%占用，計(jì)算機(jī)運(yùn)行非常慢。

　　2. 如果月份大于等于10月時(shí)，病毒會強(qiáng)行重新啟動(dòng)計(jì)算機(jī)。

　　3. 病毒運(yùn)行時(shí)會將系統(tǒng)目錄下的CMD.EXE文件分別復(fù)制到系統(tǒng)根目錄\inetpub\scripts和系統(tǒng)根目錄\progra~1\common~1\system\MSADC目錄下，并取名為root.exe。然后從病毒體內(nèi)釋放出一個(gè)木馬程序，復(fù)制到系統(tǒng)根目錄下，并取名為explorer.exe。

　　4. 病毒會修改相應(yīng)的注冊表項(xiàng)。

　　用戶如果發(fā)現(xiàn)上述情況該很有可能是中了“紅色代碼III(Junk.Codered.f)”病毒，應(yīng)該立刻拔掉網(wǎng)線，刪除上述文件，給系統(tǒng)打上補(bǔ)丁，補(bǔ)丁應(yīng)該是Server pack 2以上版本。

　　編者：雖然本文介紹了手動(dòng)清除“紅色代碼”蠕蟲的方法，但對于大多數(shù)普通用戶來說，我們認(rèn)為采用微軟提供的解決方法或是選用專業(yè)的反病毒廠商的相關(guān)安全產(chǎn)品清除該蠕蟲，是最安全和便捷的方法。

　　背景資料

　　追蹤“紅色代碼”

　　同樣是有意針對中文 Windosws 操作系統(tǒng)的攻擊性病毒，CodeRed III 與 CodeRed II 都將對簡體中文/繁體中文Windows 系統(tǒng)進(jìn)行雙倍的攻擊。本文為您講述如何手動(dòng)“紅色代碼III”蠕蟲。

　　微軟已經(jīng)發(fā)布了一個(gè)安全公告MS01-033，同時(shí)提供了針對NT和2000系統(tǒng)的補(bǔ)丁：Windows NT 4.0、Windows 2000 Professional，Server and Advanced Server。

　　需要說明的一點(diǎn)是，我們在這里所介紹的清除方法對II、III型都有效，手動(dòng)清除方法如下：

　　如果不幸中了此病毒，應(yīng)該立即關(guān)閉所有 80 端口的 web 服務(wù)，避免病毒繼續(xù)傳播。

　　1.清除的 web 服務(wù)器中的兩個(gè)后門文件：/msadc/root.exe , /scripts/root.exe

　　這兩個(gè)文件的物理地址一般情況下默認(rèn)為：

　　C:\inetpub\scripts\root.exe

　　C:\progra~1\common~1\system\MSADC\root.exe

　　2.清除本地硬盤中：c:\explorer.exe 和 d:\explorer.exe

　　先要?dú)⒌暨M(jìn)程explorer.exe，打開任務(wù)管理器，選擇進(jìn)程。檢查是否進(jìn)程中有兩個(gè)“exploer.exe”。如果您找到兩個(gè)“exploer.exe”，說明木馬已經(jīng)在您的機(jī)器上運(yùn)行了，在菜單中選擇 查看 -> 選定列 -> 線程計(jì)數(shù)，按確定。這時(shí)您會發(fā)現(xiàn)顯示框中增加了新的一列“線程數(shù)”。檢查兩個(gè)“exploer.exe”, 顯示線程數(shù)為“1”的“exploer.exe”就是木馬程序。您應(yīng)當(dāng)結(jié)束這個(gè)進(jìn)程。

　　之后，您就可以刪除掉C:\exploer.exe和D:\exploer.exe了，這兩個(gè)程序都設(shè)置了隱藏和只讀屬性。您需要設(shè)置“資源管理器”的查看->選項(xiàng)->隱藏文件為“顯示所有文件”才能看到它們。

　　3.清除病毒在注冊表中添加的項(xiàng)目：

　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

　　刪除鍵：SFCDisable 鍵值為：0FFFFFF9Dh

　　或?qū)㈡I值改為 0

　　( 設(shè)置為0FFFFFF9Dh后，將在登陸時(shí)禁止系統(tǒng)文件檢查 )

　　HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\

　　鍵：Scripts 鍵值為：,,217 改為 ,,201

　　( 這個(gè)鍵默認(rèn)就是被打開的，不過如果沒有特別需要的話，可以關(guān)閉 )

　　( 因?yàn)楹芏嗦┒炊际抢昧诉@個(gè)虛擬目錄下的文件攻擊的。)

　　HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\

　　鍵：msadc 鍵值為：,,217 改為 ,,201

　　( 同Scripts )

　　HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\

　　刪除鍵：c 鍵值為：c:\,,217

　　( 它將本地硬盤中的 C 盤在 web 中共享為 c )

　　HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\

　　刪除鍵：d 鍵值為：d:\,,217

　　( 它將本地硬盤中的 D 盤在 web 中共享為 d )

　　如果不刪除注冊表中的以上鍵，中毒服務(wù)器的本地硬盤 C、D 將被完全控制。

　　4.重新啟動(dòng)系統(tǒng)，以確保 CodeRed.v3 徹底清除。

　　注意：如果要確保清除病毒后不再次被感染，請安裝微軟發(fā)布的補(bǔ)丁。
看過“code red電腦病毒 ”人還看了：

1.關(guān)于十大電腦病毒有哪些

2.世界上20大電腦病毒

3.電腦病毒紅色代碼介紹

4.世界出名的計(jì)算機(jī)病毒有哪些

5.史上最危險(xiǎn)的病毒