|
“我的电脑安全吗?这是不是一个‘黑色星期一’?”这可能是今天一上班,许多电脑用户和网站担心和议论的话题。广东省公安厅公共信息网络安全监察处昨日发出警告说,红色代码Ⅱ病毒日前在广东潜伏,已构成重大威胁。有国内网络安全专家也表示,由红色代码Ⅱ引发的“毒灾”可能在今天大爆发,并会危及个人电脑。
该病毒与日期无关
据广东省公安厅公共信息网络安全监察处人士介绍说,近期红色代码的肆虐已使省内一些单位、部门的计算机系统感染了该病毒,正常工作受到严重影响。他解释,此次红色代码病毒和日期没有多大关系,但经过周六、周日两天休息,星期一上班后,大量联网电脑开机,新一轮病毒感染就极有可能爆发。
而广州南易科技有限公司的ICSA认证专家(国际计算机安全协会认证专家)万涛在接受记者采访时表示,红色代码没有所谓的特定发作时间,其核心技术在于利用微软的最新漏洞,然后制造DDOS攻击,使被攻击目标短时间承受过量的负荷而瘫痪。不存在特定的所谓时间发作。只是从近期红色代码的变种开始攻击中文操作系统的现象来看,国内使用微软操作系统的用户存在很大的安全隐患和风险。南易公司的服务器上周就受到了攻击,但由于防卫在先,而且采用实时监控的模式,所以没有受影响。
网站隐瞒毒情不利御毒
据了解,包括网站在内的单位在遭遇病毒攻击后多不愿透露详情。这事实上为有关部门真实了解疫情、制订应对措施带来了麻烦。目前所知,遭受红色代码Ⅱ攻击的绝大多数为网络用户,波及北京、天津、上海、重庆、广东等十几个省及直辖市,涉及计算机信息、金融证券、教育科研等多种行业以及企事业单位、政府机构。截至8月9日17时,国家计算机病毒应急处理中心统计,国内遭受红色代码Ⅱ攻击的用户共180余家,被感染的服务器超过200台,该结果是汇总国内外10余家杀毒软件生产厂家的统计而得出的。另据“瑞星”的统计显示,此病毒集中发作于计算机信息行业和网站,约占70%至80%;北京地区“灾情”严重,占到了八成。
许多用户在给国家有关部门的电话咨询中拒绝透露单位名称,从而导致已掌握“解毒”方法的“医生”根本找不到病人,也就无法医治。正因为如此,由红色代码Ⅱ引发的“毒灾”不但没有收敛之势,反而越发嚣张。有安全专家称,由于目前尚无法预测红色代码病毒消失的时间,因此在未来一段时间之内,它仍将是互联网上的一大“毒瘤”。
目前,国内几家知名杀毒软件公司都在紧张地进行杀毒软件的升级处理。据悉,包括金山、KILL、KV3000、瑞星在内的杀毒软件都能有效地查杀红色代码病毒。金山公司同时还开发了一个供自由下载的专杀红色代码的小工具,供用户免费下载使用。
红色代码来自广东?
由于红色代码的第一个版本在被黑页面和攻击对象(美国白宫)上显示和中国有关,另外尽管被这种蠕虫病毒攻击的网站都会显示“HackedbyChinese”的字样,但都不能确定红色代码来自中国。国内一些防毒专家也否认了这个说法。对于来源的说法,尤其是来自广东的说法,包括万涛在内的国内安全专家也正在通过自己的渠道进行了解。但他表示,国内能写这种病毒的人,在他们所认识的朋友中非常少。他们也已在线上交流过,但还没有任何迹象显示病毒来自广东。
小资料:“红色代码Ⅱ”病毒
“红色代码II”病毒是近日美国呼吁全球防范的“红色代码(code-red)”病毒的变种。它主要攻击:1、装Indexingservices和IIS4.0或IIS5.0的Windows2000/xp系统;2、装Indexingservices2.0和IIS4.0或IIS5.0的WindowsNT4.0系统。该病毒通过网络传播,使WindowsNT/2000/xp服务器遭受感染,利用IIS的缓冲区溢出漏洞,经TCP的80端口传播,并造成局部网络阻塞,该病毒变种在感染系统后会释放出黑客程序,它比“红色代码”病毒具有更强的破坏性。
判断病毒感染方法
1、在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的日志文件中是否含有以下内容:“GET/default.ida,
xxxxxxx% u9090% u6858% ucbd3% u7801% u9090%% u6858% ucbd3% u7801% u9090%% u6858% ucbd3% u7801% u9090% u9090% u8190% u00c3% u8b00% u531b% u53ff% u0078% u0000% u00=a,”
2、使用命令netstat-a如果在1025以上端口出现很多SYN-SENT连结请求,或者1025号以上的大量端口处于Listening状态。
3、如果在以下目录中存在Root.exe文件。
C:\inetpub\scripts\root.exe
D:\inetpub\scripts\root.exe
C:\programfiles\commonfiles\system\msadc\root.exe
D:\programfiles\commonfiles\system\msadc\root.exe
同时,红色代码II还会释放出两个文件“C:\explorer.exe”或“D:\explorer.exe”。这两个文件都是木马程序。
4、NT服务器中的web服务和FTP服务会异常中止。
解决病毒感染方法
1、到微软站点下载补丁程序(http://www.microsoft.com/technet/security/bulletin/MS01-033.asp):
2、断掉网络重新启动系统,防止病毒通过网络再次感染。
3、安装微软补丁程序。4、删除以下病毒释放的木马程序C:\inetpub\scripts\root.exeD:\inetpub\scripts\root.exeC:\programfiles\commonfiles\system\msadc\root.exeD:\programfiles\commonfiles\system\msadc\root.exe
使用以下命令删除以下文件:
ATTRIBC:\EXPLORER.EXE-H-A-RDELC:\EXPLORER.EXEATTRIBD:\EXPLORER.EXE-H-A-RDELD:\EXPLORER.EXE
5、将注册表的以下键值改为
0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon\SFCDiable
杀伤力更大 红色代码Ⅲ出笼
韩国情报通信部于本月10日表示,危害更严重的红色代码Ⅲ已经出世。它的传播速度比前两个版本更快,危害更严重。它会在受感染的电脑上打开一个更大的后洞,使这些电脑更易受黑客攻击。
但是,美国互联网安全专家却不同意韩国官员的上述说法,他们认为这可能只是红色代码病毒的再次爆发而已,并不是这种病毒生成的又一种新变种。
据悉,目前中国国内尚未出现红色代码Ⅲ,但有关专家认为,我们不能对此掉以轻心。这种变种病毒造成的恶果是,允许黑客拥有远程访问Web服务器的完全权限。(时标 刘奕伶 肖定东 林威扬 郭芹涛)
|
