CERNET各地区网络中心、 省节点网络中心和各联网单位网络中心：

对于可能受红色蠕虫病毒感染的计算机系统，包括安装有IIS 4.0或者IIS 5.0的Microsoft Windows NT 4.0和Windows 2000的主机，需要采取以下措施进行病毒预防和病毒感染处理。 一、立即采取以下两种安全防范措施之一，预防红色蠕虫病毒感染。 方法1：从微软的网站下载打补丁软件，地址为： 　　　http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 　　　或者从CCERT的网站下载打补丁软件，地址为： 　　　对Windows NT：ftp://ftp.ccert.edu.cn/pub/CHSQ300972i.exe 　　　对Win2000：ftp://ftp.ccert.edu.cn/pub/Q300972_W2k_SP3_x86_cn.exe 方法2：把%windowsdir%\system32中的idq.dll做备份，然后删除。 二、检察系统是否已被感染红色蠕虫病毒。如果在系统文件中发现有下列后门（木马）程序：C:\explorer.exe，D:\explorer.exe，则说明系统已经被病毒感染。 三、对于已经感染病毒的主机，按以下步骤手工消除病毒： 　　(1) 将该机器从网络上断开，以避免重复感染和感染其它机器。 　　(2) 立即停止IIS服务。打开控制面板，打开"服务"，点击World Wide Web Publishing Service. 选择"已禁用"。 　　(3) 打开任务管理器，选择"进程"。检查是否进程中有两个"exploer.exe".如果您找到 两个"exploer.exe"，说明木马已经在您的机器上运行了，您应当立刻杀掉木马程 序；否则，说明您还没有执行木马程序，您可以转到第四步。 　　(4) 在菜单中选择 查看| 选定列 | 线程计数，按确定。这时您会发现显示框中增加了新的一列"线程数"。检查两个"exploer.exe", 显示只有一个线程的"exploer.exe "就是木马程序。您应当立刻结束这个进程。 　　(5) 重新启动机器，运行cmd，在cmd窗口中运行以下命令（或下载批处理文件　ftp://ftp.ccert.edu.cn/pub/clean.bat），以删除蠕虫病毒留下的后门。 　　　　C: 　　　　CD C:\ 　　　　ATTRIB -h -s -r explorer.exe 　　　　Del explorer.exe 　　　　Del C:\inetpub\scripts\root.exe 　　　　Del C:\progra~1\Common~1\System\MSADC\Root.exe 　　　　D: 　　　　CD D:\ 　　　　Attrib -h -s -r explorer.exe 　　　　Del explorer.exe 　　　　Del D:\inetpub\scripts\root.exe 　　　　Del D:\progra~1\Common~1\System\MSADC\Root.exe 　　　　忽略其中任何错误。 (6) 修改被蠕虫改动过的注册表： 　　运行regedit 　　选择： 　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ 　　Services\W3SVC\Parameters\Virtual Roots 　　选择/C,选择删除；选择/D, 选择删除。 　　选择：/MSADC，将217换为201。 　　选择：/scripts，将271换为201。 　　对于Windows 2000系统，需要打开： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon 　　将SFCDisable改为0。 (7) 重新启动机器。 四、推荐采用微软公司提供的工具软件消除病毒，方法如下： 　　(1) 从下列地址下载此工具： 　http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878 　　或 　ftp://ftp.ccert.edu.cn/pub/CodeRedCleanup.exe 　　(2) 在命令行窗口中运行： c:\> CodeRedCleanup.exe 　　或者 c:\> CodeRedCleanup.exe -disable (如果您不需要IIS服务) 　　(3) 重新启动系统 　　(4) 安装补丁或者采取其他解决措施 　　(5) 再次运行此清除程序，以防止重新启动后再次被蠕虫感染。 　　(6) 重新启动系统。 五、参考网站 　　[1.] eEye 的分析报告：　http://www.eeye.com/html/advisories/coderedII.zip 　　[2.] CERT Incident Note IN-2001-09 ：　http://www.cert.org/incident_notes/IN-2001-09.html 　　[3.] Symantec CodeRed.v3：　http://www.sarc.com/avcenter/venc/data/codered.v3.html 　　[4.] 【绿盟紧急安全公告】 防范"CodeRedII"蠕虫! http://security.nsfocus.com/showQueryL.asp?libID=580

中国教育和科研计算机网CERNET 　　

网络中心 　　

2001年8月8日