蓝色代码更可恶

洪高颖 
2001年 42期

#1　　来历篇
　　　　“Codeblue”（蓝色代码）病毒能感染Windows NT和Windows 2000系统服务器，由于它攻击微软inetinfo.exe的漏洞，因此，即使没有安装IIS的服务器也同样会被感染，并被植入名为Svchost的黑客程序，该病毒可使服务器被重复感染，最终导致系统运行缓慢，甚至瘫痪。
　　　　由于inetinfo.exe程序在Windows NT/2000操作系统中无处不在，因此与红色代码相比，蓝色代码攻击范围更广，传染性更强，黑客程序运行后将全面控制被感染的系统，同时修改注册表中有关IIS的设置，并在开机时启动程序的注册表项内，添加了自动运行黑客程序的功能，重新启动时黑客程序将自动运行，因此造成的破坏性将比红色代码更可怕。（^42040801a^）
　　#1　　特征篇
　　　　蓝色代码最大特点就是使用了与系统默认程序相同的名字：Svchost.exe和Httpext.dll。所以可以通过下面来比较一下。
　　#2　　1.后门查找
　　　　单击“开始”→“查找”菜单，搜索Svchost.exe、Httpext.dll文件，找到后查看其路径，如有多出的程序且不在它们的默认目录下，那么就可能是蓝色代码的后门了。
　　　　系统默认目录应该是c:\Winnt\System32\svchost.exe、c:\Inetpub\Scripts\httpext.dll。
　　　　蓝色代码默认目录则为c:\svchost.exe、c:\httpext.dll、c:\Inetpub\Scripts\httpext.dll。
　　#2　　2.注册表修改
　　　　单击“开始”→“运行”菜单，启动regedit.exe（注册表编辑器），进入“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”启动键值，查看有没有多出“Domain Manager”内含“c:\Svchost.exe”（自动运行的后门程序）。
　　#2　　3.分辨进程
　　　　启动打开任务管理器（“Ctrl+Alt+Del”），单击“查看”→“选择列”→“线程计数”，然后查看“进程”，蓝色代码的进程Svchost.exe使用的进程数大于100，而系统默认的svchost的线程则少很多，这样可以通过比较来发现蓝色代码的进程。
　　#1　　清除篇
　　　　手工清除步骤：
　　　　1.打上Unicode的补丁（2001年《电脑报》40期D6版中的《小资料》有具体介绍）和Windows 2000 Service Pack2，然后关闭IIS（避免再次感染，也顺便去除了大部分漏洞）。
　　　　2.按特征篇描述的方法鉴别出蓝色代码的后门程序名字和进程名。
　　　　3.利用任务管理器杀掉蓝色代码产生的Svchost.exe进程。
　　　　4.通过比较后，删除蓝色代码的Svchost.exe文件和Httpext.dll文件，如果不想搜索的话，请先打开文件目录下“查看”→“文件夹选项”的“查看”页，打开“显示所有文件和文件夹”，去除下面的“隐藏已知文件类型的扩展名”（查看方便），然后到上文说的蓝色代码后门的默认目录下去删除。
　　　　5.搜索d.vbs并删除，默认地址C:\d.vbs（由于蓝色代码Bug较多，有可能不会生成）。
　　　　6.打开注册表编辑器，找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，删除其中以Domain Manager命名的键值，内含有Svchost.exe运行路径。
　　
　　 
 