蠕虫“魔波” 又有新变种
我国出现一个新型 蠕虫“魔波”(Worm_Mocbot.A)国家计算机病毒应及处理中心通过对互联网的监测发现“魔波”蠕虫(Worm_Mocbot.A)。它可以利用微软公司在8月8日刚刚发布的MS06-040安全公告公布的缓冲区漏洞进行传播。
以下为该蠕虫的详细情况:
病毒名称:“魔波”(Worm_Mocbot.A)
病毒类型:蠕虫
其它命名:Worm.IRC.WargBot.a(金山)
Worm.Mocbot.a(瑞星)
Backdoor/Mocbot.b(江民)
WORM_IRCBOT.JL(趋势)
Backdoor.Win32.IRCBot.st (Kaspersky)
W32.Wargbot (Symantec)
W32/Cuebot-L (Sophos)
IRC-Mocbot!MS06-040(McAfee)
感染系统:Windows NT/2000/XP
病毒介绍:
该蠕虫可以通过系统存在的漏洞在计算机用户不知情的情况下主动进行传播,一旦感染该蠕虫有可能会被恶意攻击者远程控制,会影响到系统中一些服务的正常运行,有可能会导致网络连接的中断,甚至可能会造成计算机系统中一些进程崩溃。
1、生成病毒文件
计算机用户一旦受到该蠕虫的感染,会在系统目录%System%下生成自身的拷贝,名称为wgareg.exe。
(其中,%System%在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
2、修改注册表
蠕虫添加注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg 下添加wgareg.exe = "%System%\wgareg.exe",
从而添加服务Windows Genuine Advantage Registration Service,其服务进程为wgareg.exe。
3、利用漏洞进行传播
蠕虫利用微软发布的MS06-040号安全公告公布的安全漏洞,通过TCP端口445进行传播。如果蠕虫感染计算机系统,那么该系统会在互联网上通过目的端的TCP端口445进行扫描,一旦发现存在MS06-040公布的缓冲区漏洞,病毒代码可以在远程计算机获得运行,感染计算机系统,进而达到传播的目的。
4、进行恶意攻击
蠕虫运行成功后,会连接互联网聊天室服务器接收恶意攻击的指令。如果受感染的计算机系统被恶意攻击完全控制,那么有可能进一步下载运行恶意程序,还有可能根据攻击者的指令发动拒绝服务攻击,控制受感染的计算机系统。但是,目前蠕虫病毒利用的聊天室服务器已经停止服务,蠕虫病毒的控制途径已被切断。
目前,北京江民公司、瑞星公司、趋势科技公司和金山公司已经能够检测、清除该蠕虫,同时有专杀工具提供给计算机用户。计算机用户成功清除蠕虫后,要立即上网下载安装微软公布的MS06-040漏洞补丁程序,防止再次感染蠕虫。
5、处置方法
(1)对于没有被感染的用户:
1)修补漏洞,打补丁。登录微软的网站,下载并安装针对该漏洞的补丁程序。地址为:[url]http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx[/url]
用户还应使用Windows Update或访问[url]http://update.microsoft.com/[/url] 对操作系统进行更新,安装所有漏洞的补丁程序。
2)通过在个人防火墙中的规则设置对蠕虫和攻击进行拦截,重点针对蠕虫涉及到的139,445两个端口设置规则
(2)对于已经遭受感染的用户:
1)修补漏洞,打补丁。登录微软的网站,下载并安装针对该漏洞的补丁程序。地址为:[url]http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx[/url]
用户还应使用Windows Update或访问[url]http://update.microsoft.com/[/url] 对操作系统进行更新,安装所有漏洞的补丁程序。
2)升级杀毒软件,对病毒进行清除。
目前,北京江民公司、瑞星公司、趋势科技公司和金山公司已经能够检测、清除该蠕虫。
3)下载使用针对该蠕虫的专杀工具,进行清除工作。
专杀工具下载地址:
江民公司:[url]http://www.jiangmin.com/download/mocbotkiller.exe[/url]
金山公司:[url]http://db.kingsoft.com/download/3/247.shtml[/url]
近年来,随着安全防范意识的不断加强,由于计算机用户能够及时下载安装补丁程序,使用杀毒软件和防火墙,该蠕虫病毒的传播已经得到了较为有效的控制,不会造成更大范围的损失。但是,我们进一步提醒广大计算机用户,应及时升级系统修补漏洞,加强防范措施,防止“魔波”蠕虫病毒及其变种以及各类木马的侵袭破坏
“魔波、魔波变种B(Worm.Mocbot.a/b)”病毒:警惕程度★★★☆,蠕虫病毒,通过系统漏洞传播,依赖系统:WIN NT/2000/XP。
该病毒会利用微软MS06-040高危漏洞进行传播。会自动在网络上搜索具有系统漏洞的电脑,并直接引导这些电脑下载病毒文件并执行。只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。当用户的计算机遭受到该病毒攻击时,会出现系统服务崩溃,无法上网等症状。
感染该病毒的计算机会自动连接特定IRC服务器的特定频道,接受黑客远程控制命令。用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取。由于病毒连接的IRC服务器在中国镜内,因此该病毒很有可能为国人编写。
“麦波变种JBO(Backdoor.Mybot.jbo)”病毒:警惕程度★★★☆,后门程序,通过MSN及微软系统漏洞传播,依赖系统:WIN9X/NT/2000/XP/2003。
该病毒运行后会弹出“不能在Windows系统运行”的错误窗口,迷惑中毒用户。
该病毒会修改系统文件及注册表项目,并试图通过微软操作系统漏洞进行传播。它还会向染毒用户的MSN好友发送内容为“The person have send you his fotoalbum your client doesnt support download:[url]http://www.sellingen.com/[/url]****/FotoAlbum.zip”的消息。消息中附带一个网址,其它用户点击下载网址中的文件,运行后就会被病毒感染。该病毒会试图自动链接到一个芬兰的服务器,接受黑客指令,从而被黑客远程控制以窃取隐私信息或攻击第三方服务器等。 谢谢楼主提醒!
页:
[1]