現行犯

現行犯

現行犯是指正在預備犯罪,實行犯罪或犯罪後即時被發現的犯罪嫌疑人。在我國,是指正在實行犯罪或犯罪後即時被發現的,通緝在案的,越獄逃跑的,正在追捕的人犯。

法律上的現行犯

現行犯是指正在預備犯罪,實行犯罪或犯罪後即時被發現的犯罪嫌疑人。在我國,對正在實行犯罪或犯罪後即時被發現的,通緝在案的,越獄逃跑的,正在追捕的人犯,任何公民都可以立即扭送公安機關、人民檢察院或者人民法院處理。

也是種網路病毒

詳細介紹:

由於Microsoft公司Windows NT和2000中的Index Service服務與其IIS服務間的接口程式-Indexing Service ISAPI中含有一個"緩衝區溢出"漏洞,致使黑客可以向IIS發出一段惡意請求,導致受攻擊系統的緩衝區溢出,從而使攻擊者獲得對系統的完全控制許可權。CodeRedII病毒正是利用該系統漏洞來對系統進行攻擊。

有關該漏洞的信息請參考Microsoft Technet 和 eEye Digital Security site網站。

CODERED.C只能對安裝有IIS服務的Windows 2000系統產生長期有效的病毒攻擊行為,而對於WindowsNT系統,它將直接導致系統的崩潰。

該蠕蟲在系統記憶體中搜尋KERNEL32.DLL 的位置, 然後找到GetProcAddress API。同時它也搜尋其它所需使用到的API 或程式。所需的庫檔案名稱稱為:

WS2_32.DLL - Winsock V 2.0

ADVAPI32.DLL - 用來操縱系統註冊表

USER32.DLL - 用來使系統重啟和其它的一些功能

接著該蠕蟲會將 %windir%\CMD.EXE 檔案複製到以下以下路徑:

C:\INETPUB\SCRIPTS\ROOT.EXE

C:\PROGRA~1\COMMON~1\SYSTEM\MSADC\ROOT.EXE

D:\INETPUB\SCRIPTS\ROOT.EXE

D:\PROGRA~1\COMMON~1\SYSTEM\MSADC\ROOT.EXE

然後病毒在根目錄下釋放一個後門木馬程式 - EXPLORER.EXE 檔案(Trend Micro的防毒產品將該檔案命名為TROJ_CODERED.C),如C:\EXPLORER.EXE。

該木馬程式將使攻擊者享有對系統的完全控制許可權。因為系統將優先執行根目錄下的EXPLORER.EXE,而非系統本身的EXPLORER.EXE。

同時該蠕蟲會修改註冊表內的鍵值以廢除登錄時系統的安全保護:

HKLM\Software/Microsoft\Windows NT\

Current Version\WinLogon\SFCDisable

並且創建以下的註冊鍵:

HKLM\SYSTEM\CurrentControlSet\Services\

W3SVC\Parameters\Virtual Roots\

/Scripts = %rootdir%\inetpub\scripts,,204

/MSADC = %rootdir%\program files\common files\system\msadc,,205

/C = C:\,,217

/D = D:\,,217

該蠕蟲還會檢查系統當前的時間,如果發現系統年份大於2002年或是月份大於10月,將強行使系統重新啟動。重啟後的系統內該蠕蟲本身將不再存在,但是其釋放的木馬程式卻一直在運行中。當然,如果系統未安裝Microsoft提供的漏洞修補程式,系統隨時都會受到又一次的攻擊。

解決方案:

1. 可以使用Trend Micro 提供的 fix tool 工具來清理受感染的機器。 方法是在命令提示符下運行該程式,或是在資源管理器內直接雙擊該檔案。

2. 系統管理員需立刻下載Microsoft 提供的 MS01-033 patch 安全補丁檔案。

如想查看系統是否以部署了該修補程式,可以使用Trend Micro提供的工具 free detection tool 。

3. 將您系統與Internet 的連線斷開。

4. 安裝該修補程式。

5. 刪除一下目錄下所有的ROOT.EXE :

C:\INETPUB\SCRIPTS\ROOT.EXE

C:\PROGRA~1\COMMON~1\SYSTEM\MSADC\ROOT.EXE

D:\INETPUB\SCRIPTS\ROOT.EXE

D:\PROGRA~1\COMMON~1\SYSTEM\MSADC\ROOT.EXE

6. 使用一下命令刪除CODERED.C 釋放的木馬檔案檔案:

ATTRIB C:\EXPLORER.EXE -H -A -R

DEL C:\EXPLORER.EXE

ATTRIB D:\EXPLORER.EXE -H -A -R

DEL D:\EXPLORER.EXE

如果無法使用該方法刪除木馬,表明該木馬已駐留在記憶體中,請使用第一條中提到的工具來清除它。

7. 重新啟動計算機。

8. 將以下註冊鍵的鍵值設為"0",以重新開啟系統安全性:

HKLM\SOFTWARE\Microsoft\WindowsNT\Current Version\WinLogon\SFCDisable

9. 對路徑"HKLM\SYSTEM\CurrentContro\Set\Services\W3SVC\Parameters\ Virtual Roots"下的註冊鍵, 直接刪除或將其鍵值設為"0"

/Scripts

/msadc

/c

/d

10. 使用Trend Micro的防毒軟體掃描整個系統,刪除所有被檢測出含有 CODERED.C 和TROJ_CODERED.C的檔案。在進行掃描前請確保已從Trend Micro 的網站下載了最新的病毒碼和掃描引擎。

[

相關詞條

相關搜尋

熱門詞條

聯絡我們