瑞星卡卡安全论坛技术交流区系统软件 【转贴】新病毒八月肆虐互联网 三步清除“魔波”病毒

1   1  /  1  页   跳转

【转贴】新病毒八月肆虐互联网 三步清除“魔波”病毒

【转贴】新病毒八月肆虐互联网 三步清除“魔波”病毒

第一步:使用个人防火墙拦截病毒攻击

1、 启动瑞星个人防火墙主程序,点击“设置”菜单,选择“IP规则”。

2、 在弹出的“设置瑞星个人防火墙IP规则”窗口中点击“增加规则”按钮。

3、 规则名称填入“MS06-040”,执行动作为“禁止”,然后点击“下一步”。对方地址设置为“任意地址”,本地地址设置为“所有地址”,协议类型选择“TCP”,对方端口选择“任意端口”,本地端口选择“端口列表”并在其下面输入“139,445”,报警方式选择“托盘动画”和“日志记录”两项选中,点击保存。



第二步 打补丁

    您可以登录微软的网站http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx下载并安装对应操作系统的补丁程序。建议大家访问http://update.microsoft.com/ 安装所有的关键更新以防止利用其它漏洞进行传播和破坏的病毒。

第三招 清除病毒

    由于该病毒的变种数量较多,每一个变种生成的文件位置都不一样,因此手工清除这个病毒并不是很方便,建议大家升级杀毒软件到最新版本来对此病毒进行查杀。

    针对“魔波”病毒,瑞星已经升级。瑞星杀毒软件2006版18.40.01版及其更高版本可有效查杀此病毒。

附件附件:

下载次数:380
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-15 14:12:25
描述:



最后编辑2006-08-16 10:52:00
分享到:
gototop
 

自己顶
gototop
 

偶也来顶个啊HEHE
gototop
 

自己顶上去
gototop
 

gototop
 

自己顶
gototop
 

【CISRT2006022】通过MS06-040漏洞传播的IRCbot wgareg.exe 解决方案

档案编号:CISRT2006022
病毒名称:Backdoor.Win32.IRCBot.st(AVP)
病毒别名:Backdoor/Mocbot.b(江民)
      Worm.Mocbot.b(瑞星)
      Worm.IRC.WargBot.a.9609(毒霸)
病毒大小:9,609 字节
加壳方式:PE_Patch MEW
样本MD5:9928a1e6601cf00d0b7826d13fb556f0
发现时间:2006.08.13
更新时间:2006.08.13
关联病毒:
传播方式:通过MS06-040漏洞传播,通过AIM传播


技术分析
==========

这是一个利用 MS06-040 Server 服务中的漏洞可能允许远程执行代码 (921883) 漏洞传播的IRCbot病毒,没有安装补丁的计算机受到攻击后可能会出现svchost.exe出错的对话框。

病毒文件名wgareg.exe,运行后复制到%System%\wgareg.exe,创建文件%WINDOWS%\Debug\dcpromo.log,创建服务如下:


CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg]
可执行文件的路径:%System%\wgareg.exe
显示名:Windows Genuine Advantage Registration Service
描述:Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
设置修改注册表信息影响系统安全:


CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="n"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"firewalldisableoverride"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windowsfirewall\domainprofile]
"enablefirewall"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windowsfirewall\standardprofile]
"enablefirewall"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
"restrictanonymoussam"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"autoshareserver"=dword:00000000
"autosharewks"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start"=dword:00000004
连接远程IRC服务器,接收黑客命令:
bniu.househot.com
ypgw.wallloan.com
被感染计算机可能被用来下载其它恶意程序、发动DDoS攻击等。


清除步骤
==========

1. 删除病毒的服务项:


CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg]
2. 重新启动计算机

3. 删除病毒文件:%System%\wgareg.exe

强烈建议:
开启网络防火墙(如有必要可以封掉TCP135/139/445等端口)
安装好微软的安全更新补丁(不仅仅是MS06-040(921883))

这里列出Windows2000/XP/2003简体中文版的MS06-040(921883)补丁下载链接:

Windows 2000 安全更新程序 (KB921883) 简体中文
Windows2000-KB921883-x86-CHS.EXE

Windows XP 安全更新程序 (KB921883) 简体中文
WindowsXP-KB921883-x86-CHS.exe

Windows Server 2003 安全更新程序 (KB921883) 简体中文
WindowsServer2003-KB921883-x86-CHS.exe
gototop
 

学到了 顶
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT