【紧急】“魔鬼波”蠕虫病毒肆虐！大家赶紧打补丁！症状：|组织区回收站

离线阿峰

只看楼主倒序阅读使用道具 0 发表于: 2006-08-18

1：网络连接后的某一时间，突然任务栏变成经典界面或者任务栏部分一小块地方变成经典界面
2：任务栏变化后自动断网，但任务栏右下角ADSL网络连接仍连接着，单击网络连接图标，显示0.5秒后消失
3：发作后电脑没有声音了
我现在把补丁贴上来，还没中的朋友们大家赶快打上，中了的朋友们把病毒库升级到最近然后全盘查杀完了以后再打上，防火墙及时开启。

Backdoor.Win32.IRCBot.st 蠕虫公告
Author: killer (killerxfocus.org)
Date:2006-8-13
一、病毒描述：
近日，一种新的BOT蠕虫现身网络，该蠕虫利用最新的MS06040漏洞传播，目前已经有多个变种。从分析上看，基本目的为发动拒绝服务攻击，蠕虫主要内置了syn/udp/scan等命令。
二、病毒基本情况：
[File Info]
File: C:\WIN2K\system32\wgareg.exe
Size|Attrib: 0x2589 (9609), (disk) 0x2589 (9609) | (attrib) archive
Packer:MEW

三、病毒行为：
1、病毒体执行后，将自身拷贝到系统目录：
%System%\wgareg.exe

创建文件：%windir%\Debug\dcpromo.log

2、添加系统服务确保自身在系统重启动后被加载：
服务名：wgareg
显示名称：Windows Genuine Advantage Registration Service
服务描述：Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
对应文件：%System%\wgareg.exe

3、连接IRC地址，接受远程命令控制：

域名：ypgw.wallloan.com
bniu.househot.com

IRC IP：58.81.137.157 端口：18067
IRC IP：61.163.231.115 端口：18067
IRC IP：202.121.199.200 端口：18067
IRC IP：61.189.243.240 端口：18067
...
4、修改多处注册表键，用以关闭杀毒软件、防火墙降低系统安全性。

5、该蠕虫和还会下载其它木马，目前截获下载的木马为：Trojan-Proxy.Win32.Ranky.fv
四、临时解决方案：
1、防火墙处阻止TCP端口： 139、445
2、启用TCP/IP筛选功能进行过滤。
3、使用IPSec来阻止受影响的端口访问。
五、KB921883-x86补丁下载：
中文Windows 2000 Service Pack 4：http://download.microsoft.com/download/f/2/%%f/f2f6f032-b0db-459d-9e89-fc0218973e73/Windows2000-KB921883-x86-CHS.EXE
中文Windows XP Service Pack 1 & Service Pack 2：
http://download.microsoft.com/download/3/1/b/31be1ef4-18e0-44a1-bc80-1753b8b43528/WindowsXP-KB921883-x86-CHS.exe
中文Windows Server 2003 & Service Pack 1：http://download.microsoft.com/download/3/1/e/31e1b295-80cf-47fb-be65-c542a55bc1cd/WindowsServer2003-KB921883-x86-CHS.exe
Windows XP Professional x64 Edition：
http://download.microsoft.com/download/0/f/9/0f9eb45e-cb70-40dd-8506-8cdf226731f7/WindowsServer2003.WindowsXP-KB921883-x64-ENU.exe

要是大家怕这些网站有危险.

就自己去百度搜索补丁来下载吧!!

病毒名称: Worm.IRC.WargBot.a

[p:4][p:4]

评价一下你浏览此帖子的感受

离线阿峰

只看该作者 1 发表于: 2006-08-18

我中标了``` 哦也.... 公司的电脑竟然没事...我靠!

离线sese

管理员

只看该作者 2 发表于: 2006-08-18

怎么会中标捏

瑟瑟论坛淘宝店（恭喜，您已成功加入"消费者保障服务"!）
淘宝店铺地址：http://shop33860917.taobao.com
商品清单地址：http://www.sese.net.cn/bbs/read.php?tid=97521
【淘宝自动发货】
各类游龙点卡，网金X2，网金游侠，网金007，51PYWG，各类远程挂机，应有尽有，价格优惠！

离线覆雨

心领神会

只看该作者 3 发表于: 2006-08-18

我也中了` 前2天过一会断1次网，重起就好了~
现在打了补丁，基本不掉线了

我的博客
 http://blog.yun8.net

我生命里的温暖就那么多，我全部给了你，但是你离开了我，你叫我以后怎么再对别人笑...

离线sese

管理员

只看该作者 4 发表于: 2006-08-18

您可以登录微软的网站http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx下载并安装对应操作系统的补丁程序。建议大家访问http://update.microsoft.com/ 安装所有的关键更新以防止利用其它漏洞进行传播和破坏的病毒。

瑟瑟论坛淘宝店（恭喜，您已成功加入"消费者保障服务"!）
淘宝店铺地址：http://shop33860917.taobao.com
商品清单地址：http://www.sese.net.cn/bbs/read.php?tid=97521
【淘宝自动发货】
各类游龙点卡，网金X2，网金游侠，网金007，51PYWG，各类远程挂机，应有尽有，价格优惠！