--帳號停用中-- | 紅色警戒Ⅱ來襲 威力增強6倍 紅色警戒Ⅱ來襲 威力增強6倍 記者吳芝菁 報導今年病毒特別多,全球商業和政府機構才剛剛逃過「紅色警戒」變形病毒的魔掌,上周末美國電腦安全機構SANS再度發出警告,指出一種比「紅色警戒」病毒威力更強大的病毒,已經出現在網路上。不過只要伺服器用戶已經安裝了能夠阻擋「紅色警戒」入侵的修正程式,就能對這一名為「紅色警戒Ⅱ」的病毒免疫。 「紅色警戒Ⅱ」病毒與它的前輩特徵類似,專門攻擊微軟伺服器軟體如NT、視窗2000和網路服務軟體IIS。根據英國電腦專家表示,這種病毒的傳播速度是I型的6倍,而且感染後病毒會將電腦系統安裝上特洛依木馬程式,使系統門戶大開,讓所有的駭客都能「遠端完全遙控」受感染的系統,而且這一代的病毒更難偵測,也更難移除。 不過短期內,這種病毒似乎對整體網路資源不會有太大的影響,因為這種病毒目前似乎專門攻擊區域網路,對網路社群的影響較為嚴重。 紅色警戒病毒上月中旬第一次發病,美國包括白宮網站在內共35萬台電腦受到波及,損失高達12億美元。紅色警戒的變形病毒本月1日再度發作,但是所造成的影響遠低於預期,防毒專家擔心用戶將會掉以輕心,忽略紅色警戒病毒仍可能捲土重來,引爆更大的危機。 |
回覆 |
會員 | 我討厭大陸人這種做法 我討厭大陸人這種做法 好的不學專學壞的~~ 超會專漏洞的~~ |
回覆 |
模糊 | 怎麼又加強了…真是想當第一… 電腦若是沒有注意到,不小心碰了,又有新的搞頭了… 防範一點好… |
回覆 |
會員 | 真要命 ~ 第一代都還沒解除危機咧 !! 現在上網, 平均每分鐘有二台中標的 IIS Server 來 GET /default.ida?........ 這些架設 IIS Server 的人好像都是趕流行, 灌好玩的, 混然不知已經中標了. |
回覆 |
會員 | 簡單補充一下這個新一代 Code Red 的"特色": 1. signature 略有改變, 無法感染 NT4(會造成 crash) --> 只針對 Windows 2000 2. 掃瞄行為改變, 50% 的機率會掃同一個 class B 裡面的 IP, 37.5% 的機率掃同一個 class A, 12.5% 的機率掃瞄任意 IP. --> 對鄰近機器影響更快, 更難偵測 3. 感染後會複製 cmd.exe 更名為 root.exe, 放置在特定位置供日後入侵使用. 並且試圖在開機過程中以本身取代 explorer.exe, 讓 reboot 也無法解毒. Windows 2000 SP2 有補到這個 security hole, 請注意木馬植入的 c:\explorer.exe & d:\explorer.exe, 以及 c: 和 d: 的 root.exe 4. 簡單的說, 這個新版本散佈的更快更有系統, 危害更大(因為會留下後門), 尚未修補者請儘速修補, 接下來不知道還會不會有更厲害的變種出現. |
回覆 |
會員 | : Code Red II 清除程序 (轉載至"台灣網路危理中心") 1. 下載 Microsoft 提供之 IIS 修正檔 Windows NT 4.0 http://www.microsoft.com/Downloads/R...eleaseID=30833 Windows 2000 http://www.microsoft.com/Downloads/R...eleaseID=30800 2. 將主機自網路離線,以免再度感染。 3. 如果 C:\explorer.exe 或 D:\explorer.exe 存在,刪除掉,這是木馬程式。 4. 重開機以清除記憶體中的木馬程式。 5. 安裝 IIS 修正檔。 6. 如果 C:\explorer.exe 或 D:\explorer.exe 存在,刪除掉,這是木馬程式。 7. 修改 registry 值之前重新開機。 8. 刪除 C:\inetpub\scripts\root.exe 和 D:\inetpub\scripts\root.exe 9. 底下的 registry 值修改為 0 以啟用系統檔案保護 SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable 10. Code Red II 設定了遠端 Web 存取,如果你用預設安裝,將以下的 registry 移除: SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\Scripts SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\msadc SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\c SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\d 如果你有用到遠端 Web 存取,設回原來的設定值。 11. 重新開機 12. 接上網路 * 參考資料:http://aris.securityfocus.com/alerts/codered2/ |
回覆 |
進階會員 | ㄜ~通通都是port:80 現在又冒出第2代~哇勒 |
回覆 |
|
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。