紅色程式碼病毒特性

　　紅色程式碼病毒利用IIS的緩衝區溢位漏洞，通過TCP的80埠傳播，並且該病毒變種在感染系統後會釋放出黑客程式。下面由小編給你做出詳細的介紹!希望對你有幫助!歡迎回訪網站，謝謝!

　　：

　　一、攻擊的目標系統：

　　1、安裝Indexing services 和IIS 4.0 或IIS 5.0的Windows 2000系統

　　2、安裝Index Server 2.0和IIS 4.0 或IIS 5.0的Microsoft Windows NT 4.0系統

　　二、如何判定遭受“紅色程式碼II”病毒攻擊

　　1、在WINNT\SYSTEM32\LOGFILES\W3SVC1目錄下的日誌檔案中是否含有以下內容

　　GET，/default.ida,

　　XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

　　XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

　　XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

　　XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a,

　　如果發現這些內容，那麼該系統已經遭受“紅色程式碼II”的攻擊。

　　2、使用命令netstat –a

　　如果在1025以上端口出現很多SYN-SENT連線請求，或者1025號以上的大量埠處於Listening狀態，那麼該系統已經遭受“紅色程式碼II”病毒的感染。

　　3、如果在以下目錄中存在Root.exe檔案，說明系統已被感染。

　　C:\inetpub\Scripts\Root.exe

　　D:\inetpub\Scripts\Root.exe

　　C:\progra~1\Common~1\System\MSADC\Root.exe

　　D:\Progra~1\Common~1\System\MSADC\Root.exe

　　同時，“紅色程式碼II”還會釋放出以下兩個檔案C:\Explorer.exe or D:\Explorer.exe。這兩個檔案都是木馬程式。

　　4、由於遭受“紅色程式碼II”病毒的攻擊，NT伺服器中的Web服務和Ftp服務會異常中止。

”人還：