我国出现一个新型 蠕虫“魔波”（Worm_Mocbot.A）

江南有雪

国家计算机病毒应及处理中心通过对互联网的监测发现“魔波”蠕虫（Worm_Mocbot.A）。它可以利用微软公司在8月8日刚刚发布的MS06-040安全公告公布的缓冲区漏洞进行传播。

   以下为该蠕虫的详细情况：
' L9 ]7 t4 E+ r6 m0 c' {& D" p
- E/ X3 g9 |* i8 ]   病毒名称：“魔波”（Worm_Mocbot.A）
   病毒类型：蠕虫
7 v7 R2 G& ]! a0 I+ Y& ?+ I4 V: Z   其它命名：Worm.IRC.WargBot.a（金山）
            Worm.Mocbot.a（瑞星）
  v; I% o' S" s& w' y            Backdoor/Mocbot.b（江民）
# p# F$ A- K+ |0 n: d9 D: V            WORM_IRCBOT.JL（趋势）
            Backdoor.Win32.IRCBot.st (Kaspersky)
            W32.Wargbot (Symantec)
! P7 }5 P8 {( Q$ `            W32/Cuebot-L (Sophos)
7 y. ^; b* R, W3 ]4 m, f% P2 }            IRC-Mocbot!MS06-040(McAfee)
5 f+ }* Z% V8 R4 I: L5 a   感染系统：Windows NT/2000/XP

5 I0 a6 c9 k: \   病毒介绍：

6 D3 B, d5 ]5 F% y& K' w! Y! _, E% q   该蠕虫可以通过系统存在的漏洞在计算机用户不知情的情况下主动进行传播，一旦感染该蠕虫有可能会被恶意攻击者远程控制，会影响到系统中一些服务的正常运行，有可能会导致网络连接的中断，甚至可能会造成计算机系统中一些进程崩溃。
1 I5 a4 n, i$ q- n! [' O
   1、生成病毒文件

   计算机用户一旦受到该蠕虫的感染，会在系统目录%System％下生成自身的拷贝，名称为wgareg.exe。
+ s; z" q) T9 G& V& D& k) O（其中，%System％在Windows NT/2000下为C:\Winnt\System32，在Windows XP下为 C:\Windows\System32）
* x% N" f# \9 J& N1 l, w2 \9 z
   2、修改注册表

$ S9 `& T. j- O; Z5 Y% {   蠕虫添加注册表项，使得自身能够在系统启动时自动运行，在
, X: N# z& g7 n8 S  ^, AHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg 下添加wgareg.exe = "%System%\wgareg.exe"，
& W+ U6 b1 M. Y3 Q* ]7 _# ^   
2 ~  B1 {% f4 J& X   从而添加服务Windows Genuine Advantage Registration Service，其服务进程为wgareg.exe。

. N  Y& P: p, M0 B   3、利用漏洞进行传播

8 g5 Q5 c5 ~; |# B( r- `* m3 r   蠕虫利用微软发布的MS06-040号安全公告公布的安全漏洞，通过TCP端口445进行传播。如果蠕虫感染计算机系统，那么该系统会在互联网上通过目的端的TCP端口445进行扫描，一旦发现存在MS06-040公布的缓冲区漏洞，病毒代码可以在远程计算机获得运行，感染计算机系统，进而达到传播的目的。

   4、进行恶意攻击
3 d, ^5 ^+ G' ?3 t; D0 s
   蠕虫运行成功后，会连接互联网聊天室服务器接收恶意攻击的指令。如果受感染的计算机系统被恶意攻击完全控制，那么有可能进一步下载运行恶意程序，还有可能根据攻击者的指令发动拒绝服务攻击，控制受感染的计算机系统。但是，目前蠕虫病毒利用的聊天室服务器已经停止服务，蠕虫病毒的控制途径已被切断。
* R) B4 h* r9 o# T
   目前，北京江民公司、瑞星公司、趋势科技公司和金山公司已经能够检测、清除该蠕虫，同时有专杀工具提供给计算机用户。计算机用户成功清除蠕虫后，要立即上网下载安装微软公布的MS06-040漏洞补丁程序，防止再次感染蠕虫。
" b, R& T& I' L! Z9 Z1 S
8 C9 \- C& V. F0 F* U) g   5、处置方法

2 M1 i, L7 W' Y% g5 r! d  （1）对于没有被感染的用户：

    1）修补漏洞，打补丁。登录微软的网站，下载并安装针对该漏洞的补丁程序。地址为：http://www.microsoft.com/china/t ... letin/MS06-040.mspx
# y) @3 j- R" g) J   
/ }/ T" |7 E; _/ V  D6 l  v4 f   用户还应使用Windows Update或访问http://update.microsoft.com/ 对操作系统进行更新，安装所有漏洞的补丁程序。
   
    2）通过在个人防火墙中的规则设置对蠕虫和攻击进行拦截，重点针对蠕虫涉及到的139,445两个端口设置规则
* F9 H+ A3 d8 Y2 C& D& t+ d
  （2）对于已经遭受感染的用户：
  _' o( v& ?% R: l3 u2 `1 J% w
' ^: `8 s' E9 c3 j6 D% F     1）修补漏洞，打补丁。登录微软的网站，下载并安装针对该漏洞的补丁程序。地址为：http://www.microsoft.com/china/t ... letin/MS06-040.mspx

. ~6 T% r! {9 L1 I, b" G( C) O8 w用户还应使用Windows Update或访问http://update.microsoft.com/ 对操作系统进行更新，安装所有漏洞的补丁程序。

     2）升级杀毒软件，对病毒进行清除。

+ i, F: d0 j, c$ n, ~$ w    目前，北京江民公司、瑞星公司、趋势科技公司和金山公司已经能够检测、清除该蠕虫。
1 B; I5 T* F" ^/ f
     3）下载使用针对该蠕虫的专杀工具，进行清除工作。


" u% ~* J$ u; @# Z    专杀工具下载地址：
( M( c9 H3 C  r# C0 a
6 `1 s9 @  a# e4 q   江民公司：http://www.jiangmin.com/download/mocbotkiller.exe

8 ]" A3 ]( v( Y) c   金山公司：http://db.kingsoft.com/download/3/247.shtml
* _, x9 `, L5 v- \/ g. S
9 d5 O1 R7 z' |1 {7 Q9 k6 o  g* v5 C   
/ n* T+ {: j5 ]* s7 Z) ]9 Y& {    近年来，随着安全防范意识的不断加强，由于计算机用户能够及时下载安装补丁程序，使用杀毒软件和防火墙，该蠕虫病毒的传播已经得到了较为有效的控制，不会造成更大范围的损失。但是，我们进一步提醒广大计算机用户，应及时升级系统修补漏洞，加强防范措施，防止“魔波”蠕虫病毒及其变种以及各类木马的侵袭破坏

　
0 b1 x6 b4 W+ o5 J" c  r" Q  F$ P
4 m% p9 {% e$ W$ V     国家计算机病毒应急处理中心
6 U4 f" z5 p# K* h/ ]! U+ {      计算机病毒防治产品检验中心
      网    址：Http://www.antivirus-China.org.cn
* b) T) Y, t% V$ L- D      电　　话：022-66211488/66211489/66211490 转 8017
8 r# R) l. g& G: v      传　　真：022-66211155
      电子邮件：sos@antivirus-China.org.cn
- Z; m4 q1 |7 R6 U9 m. i               contact@antivirus-china.org.cn

kkkliu82

谢谢提醒!
4 O# O) T0 T0 w7 N7 c8 n......