|
“魔鬼波”蠕虫病毒补丁包下载
包含2000,XP,2003的“魔鬼波”蠕虫病毒补丁
最近我中了个毒,去公司一说没想到好多同事都中了,我上论坛一看更没想到有校友也中了此病毒。我格C后重装,问题依旧。
症状:
1:网络连接后的某一时间,突然任务栏变成经典界面或者任务栏部分一小块地方变成经典界面
2:任务栏变化后自动断网,但任务栏右下角ADSL网络连接仍连接着,单击网络连接图标,显示0.5秒后消失
3:发作后电脑没有声音了
我现在把补丁贴上来,还没中的朋友们大家赶快打上,中了的朋友们把病毒库升级到最近然后全盘查杀完了以后再打上,防火墙及时开启。Backdoor.Win32.IRCBot.st 蠕虫公告
Author: killer (killerxfocus.org)
Date:2006-8-13
一、病毒描述:
近日,一种新的BOT蠕虫现身网络,该蠕虫利用最新的MS06040漏洞传播,目前已经有多个变种。从分析上看,基本目的为发动拒绝服务攻击,蠕虫主要内置了syn/udp/scan等命令。
二、病毒基本情况:
[File Info]
File: C:\WIN2K\system32\wgareg.exe
Size|Attrib: 0x2589 (9609), (disk) 0x2589 (9609) | (attrib) archive
Packer:MEW
三、病毒行为:
1、病毒体执行后,将自身拷贝到系统目录:
%System%\wgareg.exe
创建文件:%windir%\Debug\dcpromo.log
2、添加系统服务确保自身在系统重启动后被加载:
服务名:wgareg
显示名称:Windows Genuine Advantage Registration Service
服务描述:Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
对应文件:%System%\wgareg.exe
3、连接IRC地址,接受远程命令控制:
域名:ypgw.wallloan.com
bniu.househot.com
IRC IP:58.81.137.157 端口:18067
IRC IP:61.163.231.115 端口:18067
IRC IP:202.121.199.200 端口:18067
IRC IP:61.189.243.240 端口:18067
...
4、修改多处注册表键,用以关闭杀毒软件、防火墙降低系统安全性。
5、该蠕虫和还会下载其它木马,目前截获下载的木马为:Trojan-Proxy.Win32.Ranky.fv
四、临时解决方案:
1、防火墙处阻止TCP端口: 139、445
2、启用TCP/IP筛选功能进行过滤。
3、使用IPSec来阻止受影响的端口访问。 |
绿软大小