内容

　　"Code Red III" 蠕虫是 Code Red II 的新变种。它和 CodeRed II 近乎一模一样，只是更改了程序内的两个字节。Code Red II 原本的设计会在 2002 年尾便会停止散播，但这次的变种修改了这个限制令它可以持续地散播。由于它依然是利用旧有的 IIS 网页服务器漏洞，因此受影响系统的数目不会太多，而其中绝大部份都是没有安装修补程序的系统。

　　微软在以下网址发放了这个 IIS 服务器的漏洞资料及修补程序

　　http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-033.asp

　　一如 CodeRed II 的情况，它也会在受感染的网页服务器上安装后门程序，允许任何浏览者利用特定的URL格式，在服务器上执行键入的指令，。

　　受影响之系统

　　安装了索引服务并开启了 IIS 4.0 和 IIS 5.0 的 微软窗口 NT 4.0

　　安装了索引服务并开启了 IIS 5.0 的 微软窗口 2000

　　Cisco CallManager, Unity Server, uOne, ICS7750, Building Broadband Service Manager, IP/VC 3540 应用程序服务器 (这些系统都是运行 IIS)

　　没有安装修补程序的 Cisco 600 系列的 DSL 路由器

　　破坏力

　　如果 Widnows 2000 系统受 "Code Red III" 蠕虫感染，入侵者可以在本地系统的保安范围内 (LocalSystem security context) 执行任意程序代码。受破坏系统的档案有可能被修改或删除。如果被修改或删除的档案是属于某些服务程序，有可能造成阻断服务 (denial-of-service)。受感染的主机会被用作攻击其它网站的危险媒介。

　　"Code Red III" 蠕虫包含广泛散播，自动进行攻击和繁殖的特性，这些特性有可能造成某一区域的网络频宽的阻断服务，尤其是受 "Code Red III" 入侵的主机范围内的网络。

　　由于受蠕虫扫描网络的活动影响，窗口 NT 4.0 系统和 Cisco 600 系列的 DSL 路由器 (router) 可能受到阻断服务的攻击。

　　解决方案

　　如果你没有安装任何计算机病毒防护软件，你可以下载以下清除病毒的工具程序进行清除

　　Symantec

　　http://securityresponse.symantec.com/avcenter/venc/data/codered.removal.tool.html

　　注意：请根据防毒软件公司的指引来清除病毒和修复系统。

　　手动清除指引

　　http://www.hkcert.org/salert/chinese/s010805_coderedII.html#solution

　　由于此蠕虫会利用 IIS 的漏洞来发动攻击，请安装最新的 IIS 修补程序来预防受到感染。

　　IIS 的综合修补程序下载地点：

　　http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-062.asp