- 注册
- 2004-08-28
- 帖子
- 14,047
- 反馈评分
- 1
- 点数
- 61
- 年龄
- 35
由于此病毒来势汹汹 所以发布病毒预警
2006年8月13日,江民公司反病毒中心监测到了一个利用微软MS06-040漏洞传播的“魔鬼波”蠕虫Backdoor/Mocbot.b。
江民反病毒专家介绍,“魔鬼波”通过TCP端口445利用MS06-040漏洞进行传播。蠕虫的传播过程可以在用户不知情的情况下主动进行,可能造成services.exe崩溃等现象。蠕虫还可通过AOL即时通讯工具自动发送包含恶意链接的消息。蠕虫运行成功后会连接IRC服务器接收黑客命令,通过黑客命令,蠕虫可以进行下载运行任意程序,进行拒绝服务攻击(DDoS)等活动,使得用户计算机完全被黑客控制。
由于蠕虫出现距离微软发布补丁不到一周时间,江民反病毒专家担心很有可能会引发一场较大规模的计算机病毒疫情,专家呼吁,目前电脑用户应立即更新微软操作系统漏洞补丁,并升级杀毒软件病毒库,严防黑客通过“魔鬼波”远程控制电脑,窃取企业或政府事业单位机密信息,以及个人的敏感信息。专家介绍说,在安装微软的漏洞补丁前,用户可以先将TCP445端口暂时关闭,可以暂时防止病毒通过该端口入侵,并应及时关注反病毒厂商的及时安全警报,以防更多的病毒变种出现。
针对该病毒,江民反病毒中心已研制推出专杀工具,已经感染“魔鬼波”蠕虫的电脑用户可以免费下载使用。下载地址:http://www.jiangmin.com/download/mocbotkiller.exe
机子如果中招会出现这个问题
“0xc0000409应用程序出错 位置0x5fdda3c0”
有杀毒器的朋友请尽快更新
同时发现他们都是在13号这天出的问题
[attachmentid=98397]
Microsoft 安全公告 MS06-040
Server 服务中的漏洞可能允许远程执行代码 (921883)
发布日期: 八月 8, 2006 | 更新日期: 八月 14, 2006
版本: 1.1
摘要
本文的目标读者: 使用 Microsoft Windows 的客户
漏洞的影响: 远程执行代码
最高严重等级: 严重
建议: 客户应立即应用此更新
补丁下载
http://www.microsoft.com/china/technet/Sec...n/ms06-040.mspx
--------------------以下为电脑爱好者论坛转
“魔波”高危病毒解决方案[申请固顶]
两个利用系统高危漏洞进行传播的恶性病毒――“魔波(Worm.Mocbot.a)”和“魔波变种B(Worm.Mocbot.
病毒。最近利用微软MS06-040高危漏洞进行传播。当用户的计算机遭受到该病毒攻击时,会出现系统服务崩溃,无法上网等症状。由于该病毒出现离微软发布补丁程序只有短短几天时间,有很多用户还没有来得及对系统进行更新。“魔波”病毒甚至有可能会像“冲击波”、“震荡波”病毒一样大规模爆发。
(screen.width*0.8-70)) this.width=(screen.width*0.8-70)'>
(screen.width*0.8-70)) this.width=(screen.width*0.8-70)'>
(图为系统遭受病毒攻击,出现服务崩溃症状)
根据分析,“魔波”病毒会自动在网络上搜索具有系统漏洞的电脑,并直接引导这些电脑下载病毒文件并执行。只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。感染该病毒的计算机会自动连接特定IRC服务器的特定频道,接受黑客远程控制命令。用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取。由于病毒连接的IRC服务器在中国镜内,因此该病毒很有可能为国人编写。
“魔波(Worm.Mocbot.a)”蠕虫病毒分析报告病毒名称:魔波(Worm.Mocbot.a)
魔波变种B(Worm.Mocbot.b)
文件类型:PE
驻留内存:是
文件大小:9,313 bytes MD5: 2bf2a4f0bdac42f4d6f8a062a7206797(Worm.Mocbot.a)
9,609 bytes MD5: 9928a1e6601cf00d0b7826d13fb556f0(Worm.Mocbot.b)
发现日期:2006-8-14
危害等级:★★★★
受影响系统:Windows2000/XP
该病毒利用MS06-040漏洞进行传播。传播过程中可导致系统服务崩溃,网络连接被断开等现象。
被感染的计算机会自动连接指定的IRC服务器,被黑客远程控制,同时还会自动从互联网上下载的一个名为“等级代理木马变种AWP(Trojan.Proxy.Ranky.awp)”的木马病毒。
分析报告:
一、 生成文件:
“魔波(Worm.Mocbot.a)”病毒运行后,将自身改名为“wgavm.exe”并复制到%SYSTEM%中。
“魔波变种B(Worm.Mocbot.b)”病毒运行后,将自身改名为“wgareg.exe”并复制到%SYSTEM%中。
二、 启动方式:
病毒会创建系统服务,实现随系统启动自动运行的目的。
“魔波(Worm.Mocbot.a)”:
服务名: wgavm
显示名: Windows Genuine Advantage Validation Monitor
描述: Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.
“魔波变种B(Worm.Mocbot.b)”
服务名: wgareg
显示名: Windows Genuine Advantage Registration Service
描述: Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
三、 修改注册表项目,禁用系统安全中心和防火墙等
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = "dword:00000001"
AntiVirusOverride = "dword:00000001"
FirewallDisableNotify = "dword:00000001"
FirewallDisableOverride = "dword:00000001"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM = "N"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = "dword:00000001"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "dword:00000004"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\parameters
AutoShareWks = "dword:00000000"
AutoShareServer = "dword:00000000"
四、 连接IRC服务器,接受黑客指令
自动连接ypgw.wallloan.com、bniu.househot.com服务器,接受指令。使中毒计算机可被黑客远程控制。
五、 试图通过AIM(Aol Instant Messegger)传播
会在AIM(Aol Instant Messegger)中发送消息,在消息中包含一个URL(下载地址),如果用户点击地址并下载该地址的程序,则好友列表里的人都将收到该条包含URL的消息。
六、 利用MS06-040漏洞传播
该病毒会利用Microsoft Windows Server服务远程缓冲区溢出漏洞(MS06-040 Microsoft Windows的Server服务在处理RPC通讯中的恶意消息时存在溢出漏洞,远程攻击者可以通过发送恶意的RPC报文来触发这个漏洞,导致执行任意代码)
微软的补丁地址:http://www.microsoft.com/technet ... 06-040.mspx?pf=true
七、 自动在后台下载其它病毒
会自动从互联网上下载名为“等级代理木马变种AWP(Trojan.Proxy.Ranky.awp)”,该病毒会在用户计算机TCP随机端口上开置后门。
三步清除“魔波”病毒
遇到“魔波”病毒攻击,用户无需恐慌。您只需按照下面三个步骤,即可快速清除该病毒。
第一步:使用个人防火墙拦截病毒攻击
1、 启动瑞星个人防火墙主程序,点击“设置”菜单,选择“IP规则”。
2、 在弹出的“设置瑞星个人防火墙IP规则”窗口中点击“增加规则”按钮。
3、 规则名称填入“MS06-040”,执行动作为“禁止”,然后点击“下一步”。对方地址设置为“任意地址”,本地地址设置为“所有地址”,协议类型选择“TCP”,对方端口选择“任意端口”,本地端口选择“端口列表”并在其下面输入“139,445”,报警方式选择“托盘动画”和“日志记录”两项选中,点击保存。
2006年8月13日,江民公司反病毒中心监测到了一个利用微软MS06-040漏洞传播的“魔鬼波”蠕虫Backdoor/Mocbot.b。
江民反病毒专家介绍,“魔鬼波”通过TCP端口445利用MS06-040漏洞进行传播。蠕虫的传播过程可以在用户不知情的情况下主动进行,可能造成services.exe崩溃等现象。蠕虫还可通过AOL即时通讯工具自动发送包含恶意链接的消息。蠕虫运行成功后会连接IRC服务器接收黑客命令,通过黑客命令,蠕虫可以进行下载运行任意程序,进行拒绝服务攻击(DDoS)等活动,使得用户计算机完全被黑客控制。
由于蠕虫出现距离微软发布补丁不到一周时间,江民反病毒专家担心很有可能会引发一场较大规模的计算机病毒疫情,专家呼吁,目前电脑用户应立即更新微软操作系统漏洞补丁,并升级杀毒软件病毒库,严防黑客通过“魔鬼波”远程控制电脑,窃取企业或政府事业单位机密信息,以及个人的敏感信息。专家介绍说,在安装微软的漏洞补丁前,用户可以先将TCP445端口暂时关闭,可以暂时防止病毒通过该端口入侵,并应及时关注反病毒厂商的及时安全警报,以防更多的病毒变种出现。
针对该病毒,江民反病毒中心已研制推出专杀工具,已经感染“魔鬼波”蠕虫的电脑用户可以免费下载使用。下载地址:http://www.jiangmin.com/download/mocbotkiller.exe
机子如果中招会出现这个问题
“0xc0000409应用程序出错 位置0x5fdda3c0”
有杀毒器的朋友请尽快更新
同时发现他们都是在13号这天出的问题
[attachmentid=98397]
Microsoft 安全公告 MS06-040
Server 服务中的漏洞可能允许远程执行代码 (921883)
发布日期: 八月 8, 2006 | 更新日期: 八月 14, 2006
版本: 1.1
摘要
本文的目标读者: 使用 Microsoft Windows 的客户
漏洞的影响: 远程执行代码
最高严重等级: 严重
建议: 客户应立即应用此更新
补丁下载
http://www.microsoft.com/china/technet/Sec...n/ms06-040.mspx
--------------------以下为电脑爱好者论坛转
“魔波”高危病毒解决方案[申请固顶]
两个利用系统高危漏洞进行传播的恶性病毒――“魔波(Worm.Mocbot.a)”和“魔波变种B(Worm.Mocbot.
(图为系统遭受病毒攻击,出现服务崩溃症状)
根据分析,“魔波”病毒会自动在网络上搜索具有系统漏洞的电脑,并直接引导这些电脑下载病毒文件并执行。只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。感染该病毒的计算机会自动连接特定IRC服务器的特定频道,接受黑客远程控制命令。用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取。由于病毒连接的IRC服务器在中国镜内,因此该病毒很有可能为国人编写。
“魔波(Worm.Mocbot.a)”蠕虫病毒分析报告病毒名称:魔波(Worm.Mocbot.a)
魔波变种B(Worm.Mocbot.b)
文件类型:PE
驻留内存:是
文件大小:9,313 bytes MD5: 2bf2a4f0bdac42f4d6f8a062a7206797(Worm.Mocbot.a)
9,609 bytes MD5: 9928a1e6601cf00d0b7826d13fb556f0(Worm.Mocbot.b)
发现日期:2006-8-14
危害等级:★★★★
受影响系统:Windows2000/XP
该病毒利用MS06-040漏洞进行传播。传播过程中可导致系统服务崩溃,网络连接被断开等现象。
被感染的计算机会自动连接指定的IRC服务器,被黑客远程控制,同时还会自动从互联网上下载的一个名为“等级代理木马变种AWP(Trojan.Proxy.Ranky.awp)”的木马病毒。
分析报告:
一、 生成文件:
“魔波(Worm.Mocbot.a)”病毒运行后,将自身改名为“wgavm.exe”并复制到%SYSTEM%中。
“魔波变种B(Worm.Mocbot.b)”病毒运行后,将自身改名为“wgareg.exe”并复制到%SYSTEM%中。
二、 启动方式:
病毒会创建系统服务,实现随系统启动自动运行的目的。
“魔波(Worm.Mocbot.a)”:
服务名: wgavm
显示名: Windows Genuine Advantage Validation Monitor
描述: Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.
“魔波变种B(Worm.Mocbot.b)”
服务名: wgareg
显示名: Windows Genuine Advantage Registration Service
描述: Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
三、 修改注册表项目,禁用系统安全中心和防火墙等
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = "dword:00000001"
AntiVirusOverride = "dword:00000001"
FirewallDisableNotify = "dword:00000001"
FirewallDisableOverride = "dword:00000001"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM = "N"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = "dword:00000001"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "dword:00000004"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\parameters
AutoShareWks = "dword:00000000"
AutoShareServer = "dword:00000000"
四、 连接IRC服务器,接受黑客指令
自动连接ypgw.wallloan.com、bniu.househot.com服务器,接受指令。使中毒计算机可被黑客远程控制。
五、 试图通过AIM(Aol Instant Messegger)传播
会在AIM(Aol Instant Messegger)中发送消息,在消息中包含一个URL(下载地址),如果用户点击地址并下载该地址的程序,则好友列表里的人都将收到该条包含URL的消息。
六、 利用MS06-040漏洞传播
该病毒会利用Microsoft Windows Server服务远程缓冲区溢出漏洞(MS06-040 Microsoft Windows的Server服务在处理RPC通讯中的恶意消息时存在溢出漏洞,远程攻击者可以通过发送恶意的RPC报文来触发这个漏洞,导致执行任意代码)
微软的补丁地址:http://www.microsoft.com/technet ... 06-040.mspx?pf=true
七、 自动在后台下载其它病毒
会自动从互联网上下载名为“等级代理木马变种AWP(Trojan.Proxy.Ranky.awp)”,该病毒会在用户计算机TCP随机端口上开置后门。
三步清除“魔波”病毒
遇到“魔波”病毒攻击,用户无需恐慌。您只需按照下面三个步骤,即可快速清除该病毒。
第一步:使用个人防火墙拦截病毒攻击
1、 启动瑞星个人防火墙主程序,点击“设置”菜单,选择“IP规则”。
2、 在弹出的“设置瑞星个人防火墙IP规则”窗口中点击“增加规则”按钮。
3、 规则名称填入“MS06-040”,执行动作为“禁止”,然后点击“下一步”。对方地址设置为“任意地址”,本地地址设置为“所有地址”,协议类型选择“TCP”,对方端口选择“任意端口”,本地端口选择“端口列表”并在其下面输入“139,445”,报警方式选择“托盘动画”和“日志记录”两项选中,点击保存。
