Ngoài việc tiêu diệt các file “ác ý” do sâu này cài vào, Code Red Cleanup sẽ khởi động lại hệ thống để khử mật mã lưu trú bộ nhớ. Nó cũng xoá các thiết lập đặc biệt (được biết đến như “mappings”) do virus cài vào. Cuối cùng, Code Red Cleanup sẽ cung cấp một tuỳ chọn cho IIS thường xuyên bị vô hiệu hoá trên máy chủ.
Mặc dù Code Red Cleanup có khả năng trừ khử mọi dấu vết của Code Red II từ một hệ thống bị nhiễm, các chuyên gia bảo mật và Microsoft vẫn khuyến cáo, công cụ này có thể “ru ngủ” các nhà quản trị. Theo Simple Nomad, chuyên gia an ninh của công ty Bindview, Code Red Cleanup không diệt được các chương trình “đen tối” khác được load vào hệ thống bị nhiễm nhờ sử dụng “cửa sau” do Code Red II tạo ra. Trong mô tả của mình về Code Red Cleanup, Microsoft thừa nhận công cụ này không cứu chữa được bất cứ tổn thương nào do các cuộc tấn công khác gây ra trong lúc máy chủ của người dùng bị nhiễm virus. Công ty khuyên người vận hành máy chủ kết nối Internet nên xây dựng lại hệ thống bị lây nhiễm cũng như bất kỳ máy chủ nào gần gũi với máy đã nhiễm.
Theo Nhóm ứng phó máy tính khẩn cấp (CERT) thuộc trường ĐH Carnegie Mellon, cách tốt nhất để khôi phục các hệ thống bị tổn thương (chẳng hạn như nhiễm Code Red II) là định dạng lại ổ đĩa, cài đặt lại phần mềm và sử dụng “miếng vá” an ninh thích hợp.
Code Red II khai thác điểm yếu mới trong phần mềm máy chủ thông tin Internet (IIS) của Microsoft chạy trên hệ điều hành Windows 2000 và Windows NT 4. Sâu này cài đặt một “cửa sau” trên các máy bị nhiễm, cho phép kẻ tấn công điều khiển chúng từ xa. Nó còn phát tán bằng cách quét space địa chỉ Internet cho các máy chủ dễ bị tấn công khác.
Để tìm hiểu kỹ mô tả của Microsoft về công cụ Code Red Cleanup, bạn có thể vào địa chỉ: http://www.microsoft.com/technet/itsolutions/security/tools/redfix.asp
CERT tư vấn về Code Red II tại: http://www.cert.org/incident_notes/IN-2001-09.html
Thu Trà (theo Newsbytes)