-
UID:1
-
- 注册时间2003-12-31
- 最后登录2025-04-27
- 在线时间700小时
-
- 发帖17319
- 搜Ta的帖子
- 精华5
- 金钱88512080
- 威望88
- 贡献值20070
-
访问TA的空间加好友用道具
- 发帖
- 17319
- 金钱
- 88512080
- 威望
- 88
- 贡献值
- 20070
|
Microsoft MS06-040 针对魔波病毒的安全补丁
软件大小:684 KB
软件语言:简体中文
软件类别:国外软件 / 免费软件 / 系统加强
运行环境:Win2003, WinXP, Win2000, WinME, Win9X
该病毒会利用微软MS06-040高危漏洞进行传播.当用户的计算机遭受到该病毒攻击时,会出现系统服务崩溃,无法上网等症状.由于该病毒出现离微软发布补丁程序只有短短几天时间,有很多用户还没有来得及对系统进行更新.
因此有专家预测将会有更多的电脑受到该病毒攻击,"魔波"病毒甚至有可能会像"冲击波"、"震荡波"病毒一样大规模爆发.以及专家们建议关闭139及445端口
根据分析,"魔波"病毒会自动在网络上搜索具有系统漏洞的电脑,并直接引导这些电脑下载病毒文件并执行.只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染.感染该病毒的计算机会自动连接特定IRC服务器的特定频道,接受黑客远程控制命令.用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取.由于病毒连接的IRC服务器在中国境内,因此该病毒很有可能为国人编写.
2006年8月13日,江民公司反病毒中心发布紧急病毒警报,一利用微软5天前刚刚发布的MS06-040漏洞传播的“魔鬼波”(Backdoor/Mocbot.b)蠕虫现身互联网,感染该蠕虫的计算机将被黑客远程完全控制。微软在8月8日例行发布的MS06-040安全公告中称,其操作系统Server服务漏洞可能允许远程执行代码,并建议电脑用户立即升级。
据江民反病毒专家分析,“魔鬼波”蠕虫运行后,在系统目录下建立大小为9609字节的病毒文件wgareg.exe,该病毒文件经过加壳处理。病毒建立下面服务,以使自己可以在系统启动时自动运行。
服务名:Windows Genuine Advantage Registration Service
服务程序:wgareg.exe
描述:Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling
this service will result in system instability.
“魔鬼波”通过TCP端口445利用MS06-040漏洞进行传播。蠕虫的传播过程可以在用户不知情的情况下主动进行,可能造成services.exe崩溃等现象。蠕虫还可通过AOL即时通讯工具自动发送包含恶意链接的消息。
运行成功后,病毒会连接IRC服务器接收黑客命令,黑客的IRC服务器域名为:
bniu.househot.com
ypgw.wallloan.com
经江民反病毒专家查询,以上2个服务器的IP分别位于贵州六盘水市电信和上海大学新校区。
通过黑客命令,“魔鬼波”蠕虫可以进行下载运行任意程序,进行拒绝服务攻击(DDoS)等活动,使得用户计算机完全被黑客控制。
江民反病毒专家提醒,针对该蠕虫,江民杀毒软件已经紧急升级了病毒库,KV系列杀毒软件用户升级到8月14日病毒库,即可全面查杀该蠕虫。专家担心,由于微软安全公告发布还不到一周,可能还有许多用户没有安装微软MS06-040漏洞补丁,专家呼吁电脑用户务必尽快安装漏洞补丁,避免遭受病病毒侵害。
微软MS06-040Server服务漏洞可能允许远程执行代码补丁下载地址:
http://www.pnez.com/dispbbs.asp?boardID=30&ID=8356&page=1
针对该病毒,江民反病毒中心已研制推出专杀工具,已经感染“魔鬼波”蠕虫的电脑用户可以免费下载使用。下载地址: http://www.pnez.com/dispbbs.asp?boardID=30&ID=8356&page=1
|
