紅色警戒Ⅱ來襲 威力增強6倍



贊助商連結


purk
2001-08-06, 05:24 PM
紅色警戒Ⅱ來襲 威力增強6倍

  記者吳芝菁 報導今年病毒特別多,全球商業和政府機構才剛剛逃過「紅色警戒」變形病毒的魔掌,上周末美國電腦安全機構SANS再度發出警告,指出一種比「紅色警戒」病毒威力更強大的病毒,已經出現在網路上。不過只要伺服器用戶已經安裝了能夠阻擋「紅色警戒」入侵的修正程式,就能對這一名為「紅色警戒Ⅱ」的病毒免疫。

  「紅色警戒Ⅱ」病毒與它的前輩特徵類似,專門攻擊微軟伺服器軟體如NT、視窗2000和網路服務軟體IIS。根據英國電腦專家表示,這種病毒的傳播速度是I型的6倍,而且感染後病毒會將電腦系統安裝上特洛依木馬程式,使系統門戶大開,讓所有的駭客都能「遠端完全遙控」受感染的系統,而且這一代的病毒更難偵測,也更難移除。

  不過短期內,這種病毒似乎對整體網路資源不會有太大的影響,因為這種病毒目前似乎專門攻擊區域網路,對網路社群的影響較為嚴重。

  紅色警戒病毒上月中旬第一次發病,美國包括白宮網站在內共35萬台電腦受到波及,損失高達12億美元。紅色警戒的變形病毒本月1日再度發作,但是所造成的影響遠低於預期,防毒專家擔心用戶將會掉以輕心,忽略紅色警戒病毒仍可能捲土重來,引爆更大的危機。

贊助商連結


kulo
2001-08-06, 05:51 PM
我討厭大陸人這種做法:mad:
好的不學專學壞的~~
超會專漏洞的~~:mad: :mad: :mad: :mad: :mad:

Wu
2001-08-06, 06:03 PM
怎麼又加強了…真是想當第一…
電腦若是沒有注意到,不小心碰了,又有新的搞頭了…
防範一點好…

joe.oo
2001-08-06, 06:18 PM
真要命 ~

第一代都還沒解除危機咧 !!


現在上網, 平均每分鐘有二台中標的 IIS Server 來 GET /default.ida?........


這些架設 IIS Server 的人好像都是趕流行, 灌好玩的, 混然不知已經中標了.

birdy590
2001-08-06, 06:42 PM
簡單補充一下這個新一代 Code Red 的"特色":

1. signature 略有改變, 無法感染 NT4(會造成 crash) --> 只針對 Windows 2000
2. 掃瞄行為改變, 50% 的機率會掃同一個 class B 裡面的 IP, 37.5% 的機率掃同一個 class A, 12.5% 的機率掃瞄任意 IP. --> 對鄰近機器影響更快, 更難偵測
3. 感染後會複製 cmd.exe 更名為 root.exe, 放置在特定位置供日後入侵使用. 並且試圖在開機過程中以本身取代 explorer.exe, 讓 reboot 也無法解毒. Windows 2000 SP2 有補到這個 security hole, 請注意木馬植入的 c:\explorer.exe & d:\explorer.exe, 以及 c: 和 d: 的 root.exe
4. 簡單的說, 這個新版本散佈的更快更有系統, 危害更大(因為會留下後門), 尚未修補者請儘速修補, 接下來不知道還會不會有更厲害的變種出現.

yaowe
2001-08-06, 08:55 PM
: Code Red II 清除程序 (轉載至"台灣網路危理中心")

1. 下載 Microsoft 提供之 IIS 修正檔

Windows NT 4.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833

Windows 2000
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800

2. 將主機自網路離線,以免再度感染。

3. 如果 C:\explorer.exe 或 D:\explorer.exe 存在,刪除掉,這是木馬程式。

4. 重開機以清除記憶體中的木馬程式。

5. 安裝 IIS 修正檔。

6. 如果 C:\explorer.exe 或 D:\explorer.exe 存在,刪除掉,這是木馬程式。

7. 修改 registry 值之前重新開機。

8. 刪除 C:\inetpub\scripts\root.exe 和 D:\inetpub\scripts\root.exe

9. 底下的 registry 值修改為 0 以啟用系統檔案保護
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable

10. Code Red II 設定了遠端 Web 存取,如果你用預設安裝,將以下的 registry 移除:

SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\Scripts
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\msadc
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\c
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\d

如果你有用到遠端 Web 存取,設回原來的設定值。

11. 重新開機

12. 接上網路


* 參考資料:http://aris.securityfocus.com/alerts/codered2/

tsungchi
2001-08-06, 10:56 PM
ㄜ~通通都是port:80
現在又冒出第2代~哇勒