最近似乎又有類似red code的新病毒囉 - [readme.eml]

[GKLin]

最近似乎又有類似red code的新病毒囉
是透過IIS的CGi漏洞感染的...
如果主機中了毒
還會繼續對別人做攻擊
並且會發現c:\裡面多了Admin.dll和readme.eml
readme.eml用到了outlook express錯誤的mime-type的漏洞
導致一開啟那個信件便會自動執行裡面那個有著網頁圖示的readme.exe
然後你的電腦便會變得很慢很慢，mmc也都不能用了......#%(&^%#

有開80 port的人可以看看你的log檔
也許就會發現多了一堆

211.74.192.112 - - [19/Sep/2001:02:11:11 +0800] "GET /scripts/..?../winnt/system32/cmd.exe HTTP/1.0" 403 -
2f../winnt/system32/cmd.exe HTTP/1.0" 403 -
211.228.165.37 - - [19/Sep/2001:02:20:14 +0800] "GET /scripts/root.exe

之類的東西.............

沒錯!另一種正在蔓延,要小心!(開防火牆)

[寶寶]

寶寶已經中獎了~~正要貼而己說~~


正在檢查中~~~


http://www.cert.org.tw/cindex.htm
可能一觸即發的另一波新的 IIS 風暴

[Ares]

很多電腦都中了.....
我公司也中,大小客戶也一堆有疑似中毒症狀.
一定又是一波大流行~~~~~~~~~~~~~
真是雪上加霜 -__-"

[iget]

是Nimda的電腦病毒??今早有看到報導，大家得多留心點


根據了解，Nimda是藉由散發中毒的電子郵件，或者透過中毒的電腦網站到處流傳，電子郵件特徵是，沒有標題，而且附加了一個名叫read me的檔案。

[Ares]

symantec對此病毒的說法與解法
http://www.symantec.com/avcenter/[email protected]

[amos]

粉難處理,
可以看看IIS的Log file,去查對方的IIS居然也都中了,不下百個ㄟ,
大家再瀏覽網站可得小心點~最好更新一下最新的病毒碼,
不然怎死的都不知道

[kyokovalens]

我電腦裡面也有到找一個叫Admin.dll的檔案是不是也中毒了丫???
請告訴我嗎???thx~~~~~~~~~

[寶寶]

[引言]http://www.microsoft.com/taiwan/support/content/6496.htm


３．安裝完上述修正程式後，請將電腦重新開機等待10分鐘後，
依照下列方法，來判斷您是否已將Code Red病毒完全移除。
1). 請檢查您C：磁碟機以及D：磁碟機的根目錄下是否有Explorer.exe，
如果有的話，代表您的系統中依然有Code Red的病毒，請手動刪除這兩個檔案，
並重新執行移除Code Red病毒的步驟。


-----------------------------------------------------------------------------
搜尋偶電腦中，發現了三個Explorer.exe，砍了兩個..還有一支在下圖的位置
砍不掉會出現正在使用...
偶想先請問一下..這個位置的這個檔可以砍嗎??

[寶寶]

上面的那個檔好像不能砍的..><...


----------------------------------


現在偶還有一個小小的問題..(偶的修補程都安裝好了..)
因為該病毒感染後會尋找並修改htm, .html 及.asp等檔案修改為病毒格式檔案


現在只要開偶主機上有.asp的網頁
只有按一下連結唷..會開啟兩個網頁...


原本未安裝修正程式的時候會開啟一個下載的畫面(如下)，要偶下載軟体，
但現在變成一個 " 找不到網頁 "的網頁，這個要怎麼改掉它阿????