深入探究：瘋狂的“魔鬼波”變種病毒

病毒名稱：“魔鬼波”（Worm.IRC.WargBot.a），它是IRCBot黑客後門病毒的新變種；“魔鬼波”（Worm.IRC.WargBot.b），51自學網，該變種在變種a的基礎上進行了加密處理。

　　病毒危害：都通過IRC聊天頻道使系統接受黑客的控制，淪為“肉雞”，可能導致RPC服務崩潰，用戶無法上網。

　　病毒特征：（Worm.IRC.WargBot.a）病毒利用MS06-040漏洞進行傳播；（Worm.IRC.WargBot.b）是一個利用MS06-040漏洞進行傳播的蠕蟲病毒。

　　發作症狀：病毒都在受感染系統中生成以下病毒文件：%system%wgareg.exe；並添加服務，通過服務啟動HKEY_LOCAL_MACHINE SYSTEM Current Control SetService swgareg"ImagePath"="%system%wgareg.exe"。同時，通過修改下列注冊表信息降低系統安全等級，使用命令進行遠程控制，並連接下列IRC服務器接受黑客控制：ypgw.wallloan.com，bniu.househot.com；並利用Windows系統服務遠程緩沖區漏洞(MS06-040)進行主動攻擊，可能導致網絡癱瘓、系統崩潰。（Worm.IRC.WargBot.b）病毒還可注入explorer.exe進程。

　　清除“魔鬼波”病毒的方法

8月14日上午，瑞星全球反病毒監測網在國內率先截獲到兩個利用系統高危漏洞進行傳播的惡性病毒——“魔波（Worm.Mocbot.a）”和“魔波變種B(Worm.Mocbot.b)病毒。據瑞星客戶服務中心統計，目前國內已有數千用戶遭受到該病毒攻擊。

　　該病毒會利用微軟MS06-040高危漏洞進行傳播。當用戶的計算機遭受到該病毒攻擊時，會出現系統服務崩潰，無法上網等症狀。

　　遇到“魔波”病毒攻擊，用戶無需恐慌。您只需按照下面三個步驟，即可快速清除該病毒。

　　第一步：使用個人防火牆攔截病毒攻擊　　1、 啟動瑞星個人防火牆主程序，點擊“設置”菜單，選擇“IP規則”。

　　2、 在彈出的“設置瑞星個人防火牆IP規則”窗口中點擊“增加規則”按鈕。

　　3、 規則名稱填入“MS06-040”，執行動作為“禁止”，然後點擊“下一步”。對方地址設置為“任意地址”，本地地址設置為“所有地址”，協議類型選擇“TCP”，對方端口選擇“任意端口”，本地端口選擇“端口列表”並在其下面輸入“139,445”，報警方式選擇“托盤動畫”和“日志記錄”兩項選中，點擊保存。

　　第二步 打補丁　　您可以登錄微軟的網站://security.chinaitlab.com/bulletin/MS06-040.mspx下載並安裝對應操作系統的補丁程序。建議大家訪問 安裝所有的關鍵更新以防止利用其它漏洞進行傳播和破壞的病毒。

　　第三招 清除病毒　　由於該病毒的變種數量較多，每一個變種生成的文件位置都不一樣，因此手工清除這個病毒並不是很方便，建議大家升級殺毒軟件到最新版本來對此病毒進行查殺。 　　針對“魔波”病毒，瑞星已經升級。瑞星殺毒軟件2006版18.40.01版及其更高版本可有效查殺此病毒。(