梦游时光互联 - Powered by Discuz! Board

标题: 紧急！恶性病毒`魔波已经变种`光打补丁是不行的 [打印本页]

作者: xmenkk 时间: 2006-8-20 10:08 PM 标题: 紧急！恶性病毒`魔波已经变种`光打补丁是不行的

紧急！恶性病毒`魔波已经变种`光打补丁是不行的

请大家注意！！！恶性病毒——“魔波（Worm.Mocbot.a）现在已经出现变种“魔波B(Worm.Mocbot.病毒光打补丁还是不可以的还要关闭139及445端口才能预防此病毒~~~~~~~~~
病毒名称：魔波（Worm.Mocbot.a）
　　　　　魔波变种B（Worm.Mocbot.b）
文件类型：PE
驻留内存：是
文件大小：9,313 bytes MD5: 2bf2a4f0bdac42f4d6f8a062a7206797（Worm.Mocbot.a）
　　　　　9,609 bytes MD5: 9928a1e6601cf00d0b7826d13fb556f0（Worm.Mocbot.b）
发现日期：2006-8-14
危害等级：★★★★
受影响系统：Windows2000/XP
该病毒利用MS06-040漏洞进行传播。传播过程中可导致系统服务崩溃，网络连接被断开等现象。
被感染的计算机会自动连接指定的IRC服务器，被黑客远程控制，同时还会自动从互联网上下载的一个名为“等级代理木马变种AWP（Trojan.Proxy.Ranky.awp）”的木马病毒。
分析报告：
一、生成文件：
“魔波（Worm.Mocbot.a）”病毒运行后，将自身改名为“wgavm.exe”并复制到%SYSTEM%中。
“魔波变种B（Worm.Mocbot.b）”病毒运行后，将自身改名为“wgareg.exe”并复制到%SYSTEM%中。
二、启动方式：
病毒会创建系统服务，实现随系统启动自动运行的目的。
“魔波（Worm.Mocbot.a）”：
服务名: wgavm
显示名: Windows Genuine Advantage Validation Monitor
描述: Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.
“魔波变种B（Worm.Mocbot.b）”
服务名: wgareg
显示名: Windows Genuine Advantage Registration Service
描述: Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
三、修改注册表项目，禁用系统安全中心和防火墙等
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = "dword:00000001"
AntiVirusOverride = "dword:00000001"
FirewallDisableNotify = "dword:00000001"
FirewallDisableOverride = "dword:00000001"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM = "N"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = "dword:00000001"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "dword:00000004"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\parameters
AutoShareWks = "dword:00000000"
AutoShareServer = "dword:00000000"
四、连接IRC服务器，接受黑客指令
自动连接ypgw.wallloan.com、bniu.househot.com服务器，接受指令。使中毒计算机可被黑客远程控制。
五、试图通过AIM(Aol Instant Messegger)传播
会在AIM(Aol Instant Messegger)中发送消息，在消息中包含一个URL(下载地址)，如果用户点击地址并下载该地址的程序，则好友列表里的人都将收到该条包含URL的消息。
六、利用MS06-040漏洞传播
该病毒会利用Microsoft Windows Server服务远程缓冲区溢出漏洞（MS06-040 Microsoft Windows的Server服务在处理RPC通讯中的恶意消息时存在溢出漏洞，远程攻击者可以通过发送恶意的RPC报文来触发这个漏洞，导致执行任意代码)
七、自动在后台下载其它病毒
会自动从互联网上下载名为“等级代理木马变种AWP（Trojan.Proxy.Ranky.awp）”，该病毒会在用户计算机TCP随机端口上开置后门。
防火墙设置
不知道大家用的什么防火墙我用的瑞星先说说它
1启动瑞星个人防火墙主程序，点击“设置”菜单，选择“IP规则”。
2 在弹出的“设置瑞星个人防火墙IP规则”窗口中点击“增加规则”按钮。
3规则名称填入“MS06-040”，执行动作为“禁止”，然后点击“下一步”。对方地址设置为“任意地址”，本地地址设置为“所有地址”，协议类型选择“TCP”，对方端口选择“任意端口”，本地端口选择“端口列表”并在其下面输入“139,445”，报警方式选择“托盘动画”和“日志记录”两项选中，点击保存。
如果在发生断网前，XP操作系统弹出“GenericHostProcessforWin32Services”的错误提示信息。那么“发生断网的原因，是由于微软WindowsXP存在某个安全漏洞，被病毒利用攻击。注意：这种情况在ADSL用户上面发生的几率比较多，希望大家注意！！！
这是瑞星方面给我的回复的方法：供大家参考，有备无患。宁愿错删1个文件也不能放过一个病毒！！
《启动项设置》
请您按照如下方法进行操作：
1 打开瑞星杀毒软件界面
2 选择菜单的【工具】－【修复注册表】－【注册表启动项】
3 去掉启动程序的勾选，仅保留“ravmon”“ravtimer”的程序。
4 重新启动计算机（建议此方法在安全模式下操作）。
注：此操作不会影响系统的正常使用，如果您需要重新加载启动项，可以按照以上步骤对启动程序进行勾选。
《解压病毒处理》
根据病毒所在不同的文件夹或者路径，处理的方式不同：
一.病毒所在文件夹Temporary Internet Files是IE的临时文件夹，
请您按照以下步骤操作：
1、关闭所有的应用程序和窗口
2、打开我的电脑，在C盘上点鼠标右键，选择属性
3、在打开的属性窗口中点击磁盘清理
4、在打开的C的磁盘清理的窗口中选中Internet临时文件，点击查看文件
5、在打开的content.ie5的文件夹中删除染毒的文件（可根据杀毒软件提示的路径查找）
另外一种简单的方法：
请您记录下病毒的详细路径，然后打开一个IE窗口，在地址栏中完整的输入病毒的详细路径，回车。
这样就打开了病毒所在的文件夹，直接删除染毒文件即可。
二.在windows xp/ME系统的系统还原文件夹中：
当瑞星杀毒软件扫描到 _Restore文件夹中的文件带有病毒或已被病毒感染，会提示“请解压缩以后查杀”。此现象的原因是：Windows Me / XP 中的“系统还原”功能会保护Restore 文件夹中的所有文件夹和文件,禁止包括防病毒程序在内的外部程序修改系统还原。因此，防病毒程序或工具无法删除 System Restore 文件夹中的威胁。
处理方法：
1.暂时关闭或禁用“系统还原”；
2.重新启动计算机；
3.运行完整的系统扫描清除病毒。
重要提示:必须以管理员的身份登陆才能使用此功能。否则系统还原选项将不会出现。如果您不知道如何以系统管理员的身份登录，请与系统管理员、计算机制造商或安装者联系。关闭计算机会将之前所有的还原点清除。
相关连接:Microsoft 的知识库文章如何：将 Windows XP 还原为以前的状态（英文）
http://support.microsoft.com/default.aspx?...kb;EN-US;306084
三.其他文件夹中：
windows me和2000系统，您打开文件夹点击“工具”－“文件夹选项”－“查看”－选择“显示所有文件和文件夹”－不要选择“隐藏受系统保护的操作系统文件”。根据路径手动找到病毒文件删除即可.
windows 98系统应该是“查看”－“文件夹选项”－“查看”－选择“显示所有文件和文件夹”
windows XP系统，您打开文件夹点击“工具”－“文件夹选项”－“查看”－选择“显示所有文件和文件夹”－不要选择“隐藏受系统保护的操作系统文件”，删除病毒文件时，先把系统还原功能关闭。

作者: cachaol 时间: 2006-8-21 07:55 AM

啊？第一次听说这病毒，因为自己没有中过招儿，所以没特别注意

欢迎光临梦游时光互联 (http://web.meyu.net/)