病毒名称：红色代码ii（coderedii）
别名：codered.c,codered,hbc,w32/codered.c,coderediii,coderediii,coderedii
病毒特点：该病毒利用iis的缓冲区溢出漏洞，通过tcp的８０端口传播，并且该病毒变种在感染系统后会释放出黑客程序。它的技术特性如下：
一、攻击的目标系统：
1、安装indexingservices和iis4.0或iis5.0的windows2000系统
2、安装indexserver2.0和iis4.0或iis5.0的microsoftwindowsnt4.0系统
二、如何判定遭受“红色代码ii”病毒攻击
1、在winnt\system32\logfiles\w3svc1目录下的日志文件中是否含有以下内容
get，/default.ida,
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a,
如果发现这些内容，那么该系统已经遭受“红色代码ii”的攻击。
２、使用命令netstat╟a
如果在１０２５以上端口出现很多syn-sent连接请求，或者１０２５号以上的大量端口处于listening状态，那么该系统已经遭受“红色代码ii”病毒的感染。
３、如果在以下目录中存在root.exe文件，说明系统已被感染。
c:\inetpub\scripts\root.exe
d:\inetpub\scripts\root.exe
c:\progra~1\common~1\system\msadc\root.exe
d:\progra~1\common~1\system\msadc\root.exe
同时，“红色代码ii”还会释放出以下两个文件c:\explorer.exeord:\explorer.exe。这两个文件都是木马程序。
４、由于遭受“红色代码ii”病毒的攻击，nt服务器中的web服务和ftp服务会异常中止。
解决方案
１、请到以下微软站点下载补丁程序：
http://www.microsoft.com/technet/security/bulletin/ms01-033.asp
２、断掉网络重新启动系统，防止病毒通过网络再次感染。
３、安装微软补丁程序。
４、删除以下病毒释放的木马程序
c:\inetpub\scripts\root.exe
d:\inetpub\scripts\root.exe
c:\progra~1\common~1\system\msadc\root.exe
d:\progra~1\common~1\system\msadc\root.exe
使用以下命令删除以下文件：
attribc:\explorer.exe-h-a-r
delc:\explorer.exe
attribd:\explorer.exe-h-a-r
deld:\explorer.exe
５、将以下键值改为０
hklm\software\microsoft\windowsnt\currentversion\winl