主题 : 【求助】请大家看看这是怎么回事?
级别: 模拟天才
UID: 611
精华: 1
发帖: 3115
威望: 2 星
金钱: 9233 浮游币
贡献值: 119 点
好评度: 4283 点
人气: 4 点
在线时间: 717(时)
注册时间: 2004-03-27
最后登录: 2024-02-22
楼主  发表于: 2006-08-14 23:55

【求助】请大家看看这是怎么回事?

图片:
今天早晨开始,上网一段时间就出这个,然后虽然网络连接显示正常,但是实际上已经上不了网了,重装了还是一样.
杀毒没有病毒.
不经常在线,有事邮件
级别: 论坛管理员

UID: 12125
精华: 0
发帖: 5142
威望: 36 星
金钱: 375371 浮游币
贡献值: 19026 点
好评度: 21716 点
人气: 11662 点
在线时间: 1978(时)
注册时间: 2004-08-31
最后登录: 2024-10-28
沙发  发表于: 2006-08-15 01:26

中最新的病毒了,打补丁去吧……

http://db.kingsoft.com/news/seleak/ldbd/2006/08/09/90103.shtml

病毒发作状态:

1.运行后生成m%\wgareg.exe文件,添加系统服务为wgareg,并通过修改注册表信息降低系统安全等级;
2.连接黑客指定的IRC频道,控制用户电脑;
3.系统服务崩溃,无法上网;


另外:卡巴斯基5.0单机专业版 及 KIS6.0 能直接防止此攻击……不必更新补丁都可以
不经常在线,有事邮件
级别: 论坛管理员

UID: 12125
精华: 0
发帖: 5142
威望: 36 星
金钱: 375371 浮游币
贡献值: 19026 点
好评度: 21716 点
人气: 11662 点
在线时间: 1978(时)
注册时间: 2004-08-31
最后登录: 2024-10-28
板凳  发表于: 2006-08-15 10:07

病毒档案:

这是IRCBot黑客后门病毒的新变种。该病毒利用MS06-040漏洞进行传播。该病毒的主要危害是通过IRC聊天频道是系统接受黑客的控制,沦为“肉鸡”,可能导致RPC服务崩溃,用户无法上网。

1,生成文件
%system%\wgareg.exe

2,添加服务,通过服务启动
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg
"ImagePath" = "%system%\wgareg.exe"

3,通过修改下列注册表信息降低系统安全等级
software\policies\microsoft\windowsfirewall\standardprofile
"enablefirewall" = 0

software\policies\microsoft\windowsfirewall\domainprofile
"enablefirewall" = 0

software\microsoft\security center
"firewalldisableoverride" = 1
"firewalldisablenotify" = 1
"antivirusoverride" = 1
"antivirusdisablenotify" = 1

system\currentcontrolset\services\lanmanserver\parameters
"autosharewks" = 0
"autoshareserver" = 0

system\currentcontrolset\control\lsa
"restrictanonymoussam" = 1
"restrictanonymous" = 1

software\microsoft\ole
"enabledcom" = "n"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
"Start" = 4

4,使用下列命令进行远程控制
NiCK %.24s
USeR l l l l
PRiVMSG %.16s :%.480s
JOiN %.16s %.16s
USeRHOST %.16s
001
302
332
NiCK %.24s
433
PRIVMSG
PoNG %.500s
PING
[exec] :(
[exec] :)
[ni] %.16s %.16s
QUiT
USER
PASS
OPER
JOIN

5,连接下列IRC服务器接受黑客控制
ypgw.wallloan.com
bniu.househot.com

6,会通过Windows系统服务缓冲区溢出漏洞(MS06-040)进行主动攻击,造成系统崩溃、网络瘫痪。