蓝色代码更可恶
?牐牎癈odeblue”(蓝色代码)病毒能感染Windows NT和Windows 2000系统服务器,由于它攻击微软inetinfo.exe的漏洞,因此,即使没有安装IIS的服务器也同样会被感染,并被植入名为Svchost的黑客程序,该病毒可使服务器被重复感染,最终导致系统运行缓慢,甚至瘫痪。
?牐犛捎趇netinfo.exe程序在Windows NT/2000操作系统中无处不在,因此与红色代码相比,蓝色代码攻击范围更广,传染性更强,黑客程序运行后将全面控制被感染的系统,同时修改注册表中有关IIS的设置,并在开机时启动程序的注册表项内,添加了自动运行黑客程序的功能,重新启动时黑客程序将自动运行,因此造成的破坏性将比红色代码更可怕。(^42040801a^)
#1?牐犔卣髌?
?牐犂渡胱畲筇氐憔褪鞘褂昧擞胂低衬铣绦蛳嗤拿郑篠vchost.exe和Httpext.dll。所以可以通过下面来比较一下。
#2?牐?1.后门查找
?牐牭セ鳌翱肌薄安檎摇辈说ィ阉鱏vchost.exe、Httpext.dll文件,找到后查看其路径,如有多出的程序且不在它们的默认目录下,那么就可能是蓝色代码的后门了。
?牐犗低衬夏柯加Ω檬莄:\Winnt\System32\svchost.exe、c:\Inetpub\Scripts\httpext.dll。
?牐犂渡肽夏柯荚蛭猚:\svchost.exe、c:\httpext.dll、c:\Inetpub\Scripts\httpext.dll。
#2?牐?2.注册表修改
?牐牭セ鳌翱肌薄霸诵小辈说ィ舳痳egedit.exe(注册表编辑器),进入“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”启动键值,查看有没有多出“Domain Manager”内含“c:\Svchost.exe”(自动运行的后门程序)。
#2?牐?3.分辨进程
?牐犉舳蚩挝窆芾砥鳎ā癈trl+Alt+Del”),单击“查看”→“选择列”→“线程计数”,然后查看“进程”,蓝色代码的进程Svchost.exe使用的进程数大于100,而系统默认的svchost的线程则少很多,这样可以通过比较来发现蓝色代码的进程。
#1?牐犌宄?
?牐犑止で宄街瑁?
?牐?1.打上Unicode的补丁(2001年《电脑报》40期D6版中的《小资料》有具体介绍)和Windows 2000 Service Pack2,然后关闭IIS(避免再次感染,也顺便去除了大部分漏洞)。
?牐?2.按特征篇描述的方法鉴别出蓝色代码的后门程序名字和进程名。
?牐?3.利用任务管理器杀掉蓝色代码产生的Svchost.exe进程。
?牐?4.通过比较后,删除蓝色代码的Svchost.exe文件和Httpext.dll文件,如果不想搜索的话,请先打开文件目录下“查看”→“文件夹选项”的“查看”页,打开“显示所有文件和文件夹”,去除下面的“隐藏已知文件类型的扩展名”(查看方便),然后到上文说的蓝色代码后门的默认目录下去删除。
?牐?5.搜索d.vbs并删除,默认地址C:\d.vbs(由于蓝色代码Bug较多,有可能不会生成)。
?牐?6.打开注册表编辑器,找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,删除其中以Domain Manager命名的键值,内含有Svchost.exe运行路径。