紅色警戒Ⅱ來襲 威力增強6倍

[purk]

紅色警戒Ⅱ來襲 威力增強6倍

　　記者吳芝菁　報導今年病毒特別多，全球商業和政府機構才剛剛逃過「紅色警戒」變形病毒的魔掌，上周末美國電腦安全機構SANS再度發出警告，指出一種比「紅色警戒」病毒威力更強大的病毒，已經出現在網路上。不過只要伺服器用戶已經安裝了能夠阻擋「紅色警戒」入侵的修正程式，就能對這一名為「紅色警戒Ⅱ」的病毒免疫。

　　「紅色警戒Ⅱ」病毒與它的前輩特徵類似，專門攻擊微軟伺服器軟體如NT、視窗2000和網路服務軟體IIS。根據英國電腦專家表示，這種病毒的傳播速度是I型的6倍，而且感染後病毒會將電腦系統安裝上特洛依木馬程式，使系統門戶大開，讓所有的駭客都能「遠端完全遙控」受感染的系統，而且這一代的病毒更難偵測，也更難移除。

　　不過短期內，這種病毒似乎對整體網路資源不會有太大的影響，因為這種病毒目前似乎專門攻擊區域網路，對網路社群的影響較為嚴重。

　　紅色警戒病毒上月中旬第一次發病，美國包括白宮網站在內共35萬台電腦受到波及，損失高達12億美元。紅色警戒的變形病毒本月1日再度發作，但是所造成的影響遠低於預期，防毒專家擔心用戶將會掉以輕心，忽略紅色警戒病毒仍可能捲土重來，引爆更大的危機。

[kulo]

我討厭大陸人這種做法
好的不學專學壞的~~
超會專漏洞的~~

[Wu]

怎麼又加強了…真是想當第一…
電腦若是沒有注意到，不小心碰了，又有新的搞頭了…
防範一點好…

[joe.oo]

真要命 ~

第一代都還沒解除危機咧 !!


現在上網, 平均每分鐘有二台中標的 IIS Server 來 GET /default.ida?........


這些架設 IIS Server 的人好像都是趕流行, 灌好玩的, 混然不知已經中標了.

[birdy590]

簡單補充一下這個新一代 Code Red 的"特色":

1. signature 略有改變, 無法感染 NT4(會造成 crash) --> 只針對 Windows 2000
2. 掃瞄行為改變, 50% 的機率會掃同一個 class B 裡面的 IP, 37.5% 的機率掃同一個 class A, 12.5% 的機率掃瞄任意 IP. --> 對鄰近機器影響更快, 更難偵測
3. 感染後會複製 cmd.exe 更名為 root.exe, 放置在特定位置供日後入侵使用. 並且試圖在開機過程中以本身取代 explorer.exe, 讓 reboot 也無法解毒. Windows 2000 SP2 有補到這個 security hole, 請注意木馬植入的 c:\explorer.exe & d:\explorer.exe, 以及 c: 和 d: 的 root.exe
4. 簡單的說, 這個新版本散佈的更快更有系統, 危害更大(因為會留下後門), 尚未修補者請儘速修補, 接下來不知道還會不會有更厲害的變種出現.

[yaowe]

: Code Red II 清除程序 (轉載至"台灣網路危理中心")

1. 下載 Microsoft 提供之 IIS 修正檔

Windows NT 4.0
http://www.microsoft.com/Downloads/R...eleaseID=30833

Windows 2000
http://www.microsoft.com/Downloads/R...eleaseID=30800

2. 將主機自網路離線，以免再度感染。

3. 如果 C:\explorer.exe 或 D:\explorer.exe 存在，刪除掉，這是木馬程式。

4. 重開機以清除記憶體中的木馬程式。

5. 安裝 IIS 修正檔。

6. 如果 C:\explorer.exe 或 D:\explorer.exe 存在，刪除掉，這是木馬程式。

7. 修改 registry 值之前重新開機。

8. 刪除 C:\inetpub\scripts\root.exe 和 D:\inetpub\scripts\root.exe

9. 底下的 registry 值修改為 0 以啟用系統檔案保護
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable

10. Code Red II 設定了遠端 Web 存取，如果你用預設安裝，將以下的 registry 移除：

SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\Scripts
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\msadc
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\c
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\d

如果你有用到遠端 Web 存取，設回原來的設定值。

11. 重新開機

12. 接上網路


* 參考資料：http://aris.securityfocus.com/alerts/codered2/

[tsungchi]

ㄜ~通通都是port:80
現在又冒出第2代~哇勒