2006年8月13日,江民公司反病毒中心发布紧急病毒警报,一利用微软5天前刚刚发布的MS06-040漏洞传播的“魔鬼波”(Backdoor/Mocbot.b)蠕虫现身互联网,感染该蠕虫的计算机将被黑客远程完全控制。
微软在8月8日例行发布的MS06-040安全公告中称,其操作系统Server服务漏洞可能允许远程执行代码,并建议电脑用户立即升级。据江民反病毒专家分析,“魔鬼波”蠕虫运行后,在系统目录下建立大小为9609字节的病毒文件wgareg.exe,该病毒文件经过加壳处理。病毒建立下面服务,以使自己可以在系统启动时自动运行。
服务名:Windows Genuine Advantage Registration Service
服务程序:wgareg.exe描述:Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
“魔鬼波”通过TCP端口445利用MS06-040漏洞进行传播。蠕虫的传播过程可以在用户不知情的情况下主动进行,可能造成services.exe崩溃等现象。蠕虫还可通过AOL即时通讯工具自动发送包含恶意链接的消息。
运行成功后,病毒会连接IRC服务器接收黑客命令,黑客的IRC服务器域名为:bniu.househot.com ypgw.wallloan.com经江民反病毒专家查询,以上2个服务器的IP分别位于贵州六盘水市电信和上海大学新校区。
通过黑客命令,“魔鬼波”蠕虫可以进行下载运行任意程序,进行拒绝服务攻击(DDoS)等活动,使得用户计算机完全被黑客控制。
江民反病毒专家提醒,针对该蠕虫,江民杀毒软件已经紧急升级了病毒库,KV系列杀毒软件用户升级到8月14日病毒库,即可全面查杀该蠕虫。专家担心,由于微软安全公告发布还不到一周,可能还有许多用户没有安装微软MS06-040漏洞补丁,专家呼吁电脑用户务必尽快安装漏洞补丁,避免遭受病病毒侵害。
微软MS06-040Server服务漏洞可能允许远程执行代码补丁下载地址:
http://www.microsoft.com/china/t ... letin/MS06-040.mspx
·mcafee企业版8.0i设置指南 (9618次浏览)
·手动彻底清除恶意网页病毒 (8248次浏览)
·彻底解决services.exe进程病毒 (8218次浏览)
·熊猫烧香病毒专杀及手动修复方案 (3142次浏览)
·Downloader.IstBar.ai.dll (2763次浏览)
·Downloader.IstBar.ai.dll.enc (2660次浏览)
·Hack.OicqHack (1085次浏览)
·Flooder.Biliao (1084次浏览)
·熊猫烧香之后有仇英 病毒源代码很简单 (659次浏览)
·六大新反病毒技术仍然需要进一步完善 10-31
·文件夹选项莫名丢失 都是病毒惹得祸 10-31
·霸道病毒更猖狂 多重手段难提防 10-30
·手动清除chcp.exe病毒 保护MSN的安全 10-29
·小心为上:灰鸽子专用检测清除工具 10-29
·赛门铁克提供防病毒及防间谍软件解决方案 10-28
·根据PID查杀木马病毒的适用小方法 10-28
·透视木马程序开发技术:病毒源代码详解(1) 10-28
·瑞星病毒预警:能自启动的两种木马 10-28
