病毒名稱:“魔鬼波”(Worm.IRC.WargBot.a),又稱魔鬼衝擊波病毒,它是IRCBot黑客後門病毒的新變種;“魔鬼波”(Worm.IRC.WargBot.b),該變種在變種a的基礎上進行了加密處理
距魔鬼波蠕蟲被截獲僅僅幾個小時,其變種病毒魔鬼波變種B(Worm.IRC.WargBot.b)再次瘋狂攻擊網際網路。金山毒霸反病毒監測中心已經發布四級病毒預警,截止到目前為止,全國已經有3128例感染求助。
魔鬼波變種B主要是以改頭換面的方式出現,對自身進行了加密並修改添加項名稱等,以躲避反病毒軟體的查殺。該變種病毒同樣主要利用MS06-040漏洞進行主動傳播,可注入explorer.exe進程,瘋狂攻擊網際網路,可造成系統崩潰,網路癱瘓,並通過IRC聊天頻道接受黑客的控制。病毒可以通過修改註冊表信息降低系統安全等級,連線黑客指定的IRC頻道(ypgw.wallloan.com、bniu.househot.com),控制用戶電腦,使之淪為“肉雞” 。
作為06年以來第一高危病毒,魔鬼波變種產生的速度非常快,據金山毒霸反病毒專家稱,魔鬼波之所以在短時間內即出現變種,可以說是在時間上與防毒軟體廠商拼搶,下圖是金山毒霸反病毒監測中心監測到的該病毒感染數量的增長趨勢:
基本介紹
如何判別,第一招,第二招,第三招,清除方法,
如何判別
1.運行後生成m%\wgareg.exe檔案,添加系統服務為wgareg,並通過修改註冊表信息降低系統安全等級;
3.系統服務崩潰,無法上網;
遇到"魔波" 病毒攻擊,用戶無需恐慌。您只需按照下面三個方法,即可快速清除該病毒。
第一招
使用個人防火牆攔截病毒攻擊
打開天網防火牆,新建兩條規則限制139和445連線埠,大家可以下載現成魔鬼波防禦規則,然後進入自定義規則欄,導入規則然後保存;當然,也可以自己編寫,便寫好規則後保存即可。編寫步驟如下:
封堵139連線埠
封堵445連線埠
第二招
打補丁
您可以登錄微軟的網站http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx下載並安裝對應作業系統的補丁程式。建議大家訪問http://update.microsoft.com/安裝所有的關鍵更新以防止利用其它漏洞進行傳播和破壞的病毒。
第三招
清除病毒
由於該病毒的變種數量較多,每一個變種生成的檔案位置都不一樣,因此手工清除這個病毒並不是很方便,建議大家升級防毒軟體到最新版本來對此病毒進行查殺。
★ 下載“魔鬼波”專殺工具
適用平台: Win9x/NT/2000/XP/2003
更新版本: 2006.8.14.13
工具大小: 144 KB
下載地址: http://db.kingsoft.com/download/3/247.shtml
工具說明: 支持魔鬼波(Worm.IRC.WargBot.a,Worm.IRC.WargBot.b)兩個變種的查殺。
