概述
魔鬼波病毒魔鬼波病毒危害:都通過IRC聊天頻道使系統接受黑客的控制,淪為“肉雞”,可能導致RPC服務崩潰,用戶無法上網。
魔鬼波病毒病毒特徵:(Worm.IRC.WargBot.a)病毒利用微軟06-040漏洞進行傳播;(Worm.IRC.WargBot.b)是一個利用微軟S06-040漏洞進行傳播的蠕蟲病毒。
症狀
蠕蟲病毒2、SVCHOST.EXE程式出錯
3、網路經常不正常斷開。而且一般重啟之後能連線幾分鐘,然後又會斷開。
魔鬼波病毒都在受感染系統中生成以下病毒檔案:%system%wgareg.exe;並添加服務,通過服務啟動HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswgareg"ImagePath"="%system%wgareg.exe"。同時,通過修改下列註冊表信息降低系統安全等級,使用命令進行遠程控制,並連線下列IRC伺服器接受黑客控制:ypgw.wallloan.com,bniu.househot.com;並利用Windows系統服務遠程緩衝區漏洞(MS06-040)進行主動攻擊,可能導致網路癱瘓、系統崩潰。(Worm.IRC.WargBot.b)病毒還可注入explorer.exe進程。上網一段時間後後提示錯誤,並且無法上網,需要重新啟動。
距魔鬼波蠕蟲被截獲僅僅幾個小時,其變種病毒魔鬼波變種B(Worm.IRC.WargBot.b)再次瘋狂攻擊網際網路。金山毒霸反病毒監測中心已經發布四級病毒預警,中國已經有3128例感染求助。
辨別
1、運行後生成m%\wgareg.exe檔案,添加系統服務為wgareg,並通過修改註冊表信息降低系統安全等級;2、連線黑客指定的IRC頻道,控制用戶電腦;
3、系統服務崩潰,無法上網;
遇到“魔波”病毒攻擊,用戶無需恐慌。您只需按照下面三個方法,即可快速
清除方法
防火牆打開天網防火牆,新建兩條規則限制139和445連線埠,大家可以下載現成魔鬼波防禦規則,然後進入自定義規則欄,導入規則然後保存;當然,也可以自己編寫,便寫好規則後保存即可。編寫步驟如下:
封堵139連線埠
封堵445連線埠
第二招:打補丁
您可以登錄微軟的網站http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx下載並安裝對應作業系統的補丁程式。建議大家訪問http://update.microsoft.com/安裝所有的關鍵更新以防止利用其它漏洞進行傳播和破壞的病毒。
第三招:清除病毒
由於該病毒的變種數量較多,每一個變種生成的檔案位置都不一樣,因此手工清除這個病毒並不是很方便,建議大家升級防毒軟體到最新版本來對此病毒進行查殺。
專殺工具
適用平台:Win9x/NT/2000/XP/2003
更新版本:2006.8.14.13
工具大小:144KB
下載地址:http://db.kingsoft.com/download/3/247.shtml
工具說明:支持魔鬼波(Worm.IRC.WargBot.a,Worm.IRC.WargBot.b)兩個變種的查殺。
網路上“魔鬼波”(Backdoor/Mocbot.b)病毒威害愈演愈烈,這個被稱為“2006年第一波攻擊”的高危病毒已經讓很多用戶深受其害。“魔鬼波”病毒是一個具有木馬性質的蠕蟲病毒,用戶電腦一旦中招,不僅會被黑客完全控制電腦,竊取用戶的重要信息,同時也會成為黑客的傀儡機器,會在用戶不知情的情況下主動傳播“魔鬼波”病毒,比如通過聊天工具傳送包含病毒的惡意網站連結等。目前“魔鬼波”病毒的傳播速度非常快,並且已經產生了多個變種病毒,ESETNOD32用戶只要做好以下措施,就可以從容應對“魔鬼波”病毒的威脅,確保你的電腦安全無憂。
第一步:打開ESETNOD32控制中心,依次點擊“AMON”、“DMON”、“EMON”和“IMON”選項,分別勾選“啟動檔案實時監控”、“啟動MSOffice檔案實時防護”、“啟動MSOutlook電子郵件防護”和“已啟動網路監視”選框,啟動ESETNOD32的全部實時監控功能。
第二步:依次點擊“ESETNOD32系統工具/ESETNOD32系統設定”選項,在右側視窗中點擊“ThreatSense.net”選項,勾選“啟動ThreatSense.net預警系統”選框,點擊“確定”按鈕即可。
第三步:依次點擊“ESETNOD32系統工具/排程器/計畫器”選項,勾選“自動更新將在撥號在線上後執行”選框,點擊“確定”按鈕即可
經過以上設定後,在電腦連線上網後,ESETNOD32會自動更新到最新的病毒庫。它的實時監控功能可以有效監測用戶的檔案執行和上網行為,及時發現和阻止“魔鬼波”病毒的運行和下載。在整個監控過程中,ESETNOD32先進的ThreatSense防毒引擎可以在安全的環境中對於可疑檔案進行前攝性操作,預先分析和辨別可疑檔案在執行後的動作和執行代碼,從而辨別出它是否具有病毒特徵,這樣就可以及早發現和處理新的未知“魔鬼波”變種病毒,有效避免新病毒的危害。
解決方法
電腦病毒播報微軟網站
FORWINDOWSXP的補丁在我空間的檔案共享裡面有,可以直接從我這兒下載:
魔波補丁
其他系統的還是去微軟那兒下吧。
2.有條件的用自己電腦上的防火牆把“139,445”兩個連線埠關閉。不會的就算了。
3.把自己的防毒軟體更新到最新版本然後手動查殺一下。
4.最好登入WINDOWS更新的網頁把所有的補丁都打上。或者開啟WINDOWS的自動更新功能。
具體辦法:點開始-WINDOWSUPDATE
控制臺-系統屬性-自動更新-改成第一項(設定一個自己經常上網的時間)或者改成第二項(這項下載完後要手動安裝一下的)
1、啟動個人防火牆主程式(以瑞星個人防火牆為例,其它類型的安全防火牆設定方法基本一樣),點擊“設定”選單, 選擇“IP規則”。
2、在彈出的“設定瑞星個人防火牆IP規則”視窗中點擊“增加規則”按鈕。
3、規則名稱填入“MS06-040”,執行動作為“禁止”,然後點擊“下一步”。對方地址設定為“任意地址”,本地地址設定為“所有地址”,協定類型選擇“TCP”,對方連線埠選擇“任意連線埠”,本地連線埠選擇“連線埠列表”並在其下面輸入“139,445”,報警方式選擇“托盤動畫”和“日誌記錄”兩項選中,點擊保存。
該病毒利用系統高危漏洞進行傳播,病毒會自動在網路上搜尋具有系統漏洞的電腦,並直接引導這些電腦下載病毒檔案並執行。只要這些用戶的電腦沒有安裝補丁程式並接入網際網路,就有可能被感染。感染該病毒的計算機會接受黑客遠程控制命令。用戶的銀行卡帳號、密碼及其它隱私信息都有可能被黑客竊取。
相關詞條
計算機術語4
| 21世紀是網路和信息化的世紀,電腦的發展改變著人們的生活。通過了解計算機術語,能更清楚的認識計算機,更好的運用計算機。 |
