第一步：使用个人防火墙拦截病毒攻击

1、 启动瑞星个人防火墙主程序，点击“设置”菜单，选择“IP规则”。

2、 在弹出的“设置瑞星个人防火墙IP规则”窗口中点击“增加规则”按钮。

3、 规则名称填入“MS06-040”，执行动作为“禁止”，然后点击“下一步”。对方地址设置为“任意地址”，本地地址设置为“所有地址”，协议类型选择“TCP”，对方端口选择“任意端口”，本地端口选择“端口列表”并在其下面输入“139,445”，报警方式选择“托盘动画”和“日志记录”两项选中，点击保存。



第二步 打补丁

    您可以登录微软的网站http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx下载并安装对应操作系统的补丁程序。建议大家访问http://update.microsoft.com/ 安装所有的关键更新以防止利用其它漏洞进行传播和破坏的病毒。

第三招 清除病毒

    由于该病毒的变种数量较多，每一个变种生成的文件位置都不一样，因此手工清除这个病毒并不是很方便，建议大家升级杀毒软件到最新版本来对此病毒进行查杀。

    针对“魔波”病毒，瑞星已经升级。瑞星杀毒软件2006版18.40.01版及其更高版本可有效查杀此病毒。

自己顶

偶也来顶个啊HEHE

自己顶上去

顶

自己顶

【CISRT2006022】通过MS06-040漏洞传播的IRCbot wgareg.exe 解决方案

档案编号：CISRT2006022
病毒名称：Backdoor.Win32.IRCBot.st（AVP）
病毒别名：Backdoor/Mocbot.b（江民）
　　　　　 Worm.Mocbot.b（瑞星）
　　　　　 Worm.IRC.WargBot.a.9609（毒霸）
病毒大小：9,609 字节
加壳方式：PE_Patch MEW
样本MD5：9928a1e6601cf00d0b7826d13fb556f0
发现时间：2006.08.13
更新时间：2006.08.13
关联病毒：
传播方式：通过MS06-040漏洞传播，通过AIM传播


技术分析
==========

这是一个利用 MS06-040 Server 服务中的漏洞可能允许远程执行代码 (921883) 漏洞传播的IRCbot病毒，没有安装补丁的计算机受到攻击后可能会出现svchost.exe出错的对话框。

病毒文件名wgareg.exe，运行后复制到%System%\wgareg.exe，创建文件%WINDOWS%\Debug\dcpromo.log，创建服务如下：


CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg]
可执行文件的路径：%System%\wgareg.exe
显示名：Windows Genuine Advantage Registration Service
描述：Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
设置修改注册表信息影响系统安全：


CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="n"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"firewalldisableoverride"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windowsfirewall\domainprofile]
"enablefirewall"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windowsfirewall\standardprofile]
"enablefirewall"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
"restrictanonymoussam"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"autoshareserver"=dword:00000000
"autosharewks"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start"=dword:00000004
连接远程IRC服务器，接收黑客命令：
bniu.househot.com
ypgw.wallloan.com
被感染计算机可能被用来下载其它恶意程序、发动DDoS攻击等。


清除步骤
==========

1. 删除病毒的服务项：


CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg]
2. 重新启动计算机

3. 删除病毒文件：%System%\wgareg.exe

强烈建议：
开启网络防火墙（如有必要可以封掉TCP135/139/445等端口）
安装好微软的安全更新补丁（不仅仅是MS06-040(921883)）

这里列出Windows2000/XP/2003简体中文版的MS06-040(921883)补丁下载链接：

Windows 2000 安全更新程序 (KB921883) 简体中文
Windows2000-KB921883-x86-CHS.EXE

Windows XP 安全更新程序 (KB921883) 简体中文
WindowsXP-KB921883-x86-CHS.exe

Windows Server 2003 安全更新程序 (KB921883) 简体中文
WindowsServer2003-KB921883-x86-CHS.exe

学到了 顶