Ferramenta para remover os efeitos do Worm Code Red II

  • Artigo

Ferramenta para remover os efeitos do Worm Code Red II

A Microsoft desenvolveu uma ferramenta que elimina os efeitos diretos causados pelo worm Code Red II. Esta ferramenta faz o seguinte:

  • Remove os arquivos maliciosos instalados pelo worm.
  • Reinicia o sistema para limpar o código hostil da memória.
  • Remove os mapeamentos que o worm utiliza para se instalar. (Veja a seção "Cuidados" abaixo.)
  • Fornece uma opção para permanentemente desabilitar o Internet Information Server (IIS) no servidor.

CUIDADOS:

  • A ferramenta não substitui as ações codeventivas apropriadas. Se você está perando um servidor Web baseado no Windows NT 4.0 ou Windows 2000, a Microsoft recomenda que você aplique a correção fornecida no Boletim de Segurança MS01-044(site em inglês). Esta ação codevine a infeção do worm no sistema e evita a necessidade de utilizar esta ferramenta.
  • A ferramenta remove os mapeamentos do IIS para /Scripts ou /MSADC. Se seu servidor necessita estes mapeamentos, você deverá reinstalá-los manualmente após utilizar esta ferramenta.
  • Devido a forma com que o worm atua, você deve executar esta ferramenta uma segunda vez após o servidor ser reiniciado. Isto irá garantir que o worm foi eliminado, independente do estado do sistema quando a ferramenta foi executada a primeira vez.
  • A FERRAMENTA ELIMINA APENAS OS EFEITOS DO WORM CODE RED II. ELA NÃO ELIMINA OS EFEITOS DE OUTRAS VARIANTES DO WORM.
  • SE O WORM INFECTOU O SEU SISTEMA, SEU SISTEMA ESTÁ ABERTO PARA FORMAS ADICIONAIS DE ATAQUES. ESTA FERRAMENTA APENAS ELIMINA OS EFEITOS DIRETOS DO WORM - ELA NÃO ELIMINA NENHUM OUTRO DANO CAUSADO POR OUTROS ATAQUES QUE SEU SISTEMA PODE TER SOFRIDO ENQUANTO O SERVIDOR ESTAVA INFECTADO.
  • APESAR DA FERRAMENTA SER ÚTIL NA ELIMINAÇÃO DOS EFEITOS DO WORM CODE RED II NOS SERVIDORES INTERNOS QUE ESTÃO PROTEGIDOS POR ROTEADORES E FIREWALLS, A MICROSOFT RECOMENDA QUE SERVIDORES EXPOSTOS DIRETAMENTE À WEB SEJAM RECRIADOS DE ACORDO COM AS RECOMENDAÇÕES PUBLICADAS NO WEBSITE CERT (SITE EM INGLÊS). ALÉM DISSO, OUTROS SERVIDORES COM RISCO DE ESTAREM CONTAMINADOS DEVIDO A PROXIMIDADE DE SERVIDORES INFECTADOS DEVEM SER RECRIADOS ANTES DE SEREM COLOCADOS DE VOLTA EM PRODUÇÃO.

Para limpar seu sistema com a ferramenta

  1. Faça o download da ferramenta em http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878(site em inglês).
  2. Descompacte o arquivo em uma pasta na máquina infectada, como C:\Cleanup.
  3. Execute a ferramenta através do Prompt de Comando.
    • Acesse o Menu Iniciar, selecione Programas, então Acessóriose clique em Prompt de Comando.
    • Altere o prompt para a pasta que contém a ferramenta. Para alterar a pasta, digite
      cd C:\Cleanup
    • Execute a ferramenta digitando
      CodeRedCleanup
    • Se você deseja desabilitar permanentemente o IIS no servidor, digite 
      CodeRedCleanup –disable
    • A ferramenta fará a limpeza conforme especificado acima. Se a ferramenta reiniciar o computador, você deverá executá-la novamente após a reinicialização. Se a ferramenta não reiniciar o computador, então o sistema estará limpo ao retorno da ferramenta no prompt de comando. A ferramenta produz mensagens conforme é executada, que dependerão da configuração do sistema; elas podem ser ignoradas.