computer 版 (精华区)

发信人: neverbw (浪子~期待黑色七月), 信区: network
标  题: 蓝色代码病毒的防范及解决办法
发信站: 听涛站 (2001年10月03日15:49:26 星期三), 站内信件

“蓝色代码”蠕虫病毒感染Windows NT和Windows 2000系统服务器，由于其攻击微软in
etinfo.exeIIS服务程序的漏洞，并植入名为SvcHost.EXE的黑客程序运行，该蠕虫病毒
将在服务器内存中不断地生成新的线程，最终导致系统运行缓慢，甚至瘫痪；如果操作
系统是Windows 2000会将该系统的IIS Admin服务停止运行，导致无法对外提供Web服务
，服务器彻底瘫痪。
　　蠕虫运行会生成“C:\d.vbs”脚本程序，该脚本程序运行时将停止所有“.ida,.id
q，.printer”的系统服务；同时尝试下载“httpext.dll”到“C:\”以及“C:\inetpu
b\scripts\httpext.dll”。
　　与“红色代码”相比， 红色代码主要攻击IIS中的索引服务，而“蓝色代码”针对
IIS自身的Unicode漏洞，攻击范围更广，传染性更强，黑客程序运行后将全面控制被感
染的系统，同时修改注册表中有关IIS的设置，并在开机时启动程序SOFTWARE\MICROSOF
T\WINDOWS\CURRENTVERSION\RUN\的注册表项，添加了自动运行黑客程序SvcHost.EXE的
功能，重新启动时黑客程序将自动运行，因此造成的破坏性将比红色代码更加可怕。
解决及防范办法：
　　1、简单解决办法：
　　删除 C:\d.vbs 该脚本程序运行时将停止所有“.ida,.idq，.printer”的系统服务
。
　　删除 C:\inetpub\scripts\httpext.dll 个人认为大概是个类似rootkit功能的库文
件，以方便通过后门进行系统的管理。
　　删除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中含
SvcHost.EXE的键，目前还不清楚具体SvcHost.EXE的具体位置，不过如果键值只是"Svc
Host.EXE"的话，肯定是在%systemroot%\SvcHost.EXE的了。
　　2、下载微软件漏洞补丁：
　　该漏洞补丁随微软安全公告MS00-057一起发布
http://www.microsoft.com/technet/security/
bulletin/ms00-057.asp
IIS 4.0
http://www.microsoft.com/ntserver/nts/downloads/
critical/q269862/default.asp
IIS 5.0
http://www.microsoft.com/windows2000/downloads/
critical/q269862/default.asp
　　3、各杀病毒的软件商也升级了自己的病毒库，大概能查杀“蓝色代码”病毒

--
当爱情不再完美我宁愿选择无悔不管来生多么美丽我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]