[转贴]2006年的第一个黄色警报: '魔波'高危病毒来了
病毒极其恶劣，系统失灵，ADSL拨号锁死，上网不能，注销不能，只有不断重启，重装系统无用！！！！只有格盘，全擦掉，或按以下方法






这是一条比较重要的新闻, 这是瑞星公司今年首次发布黄色级别的病毒警报, 各位访客一定要注意了. 感谢匿名访客投递.
瑞星黄色（三级）安全警报
[快讯]8月14日上午,瑞星全球反病毒监测网在国内率先截获到两个利用系统高危漏洞进行传播的恶性病毒——"魔波(Worm.Mocbot.a)"和"魔波变种B(Worm.Mocbot.b)病毒.据瑞星客户服务中心统计,目前国内已有数千用户遭受到该病毒攻击.


瑞星反病毒专家介绍说,该病毒会利用微软MS06-040高危漏洞进行传播.当用户的计算机遭受到该病毒攻击时,会出现系统服务崩溃,无法上网等症状.由于该病毒出现离微软发布补丁程序只有短短几天时间,有很多用户还没有来得及对系统进行更新.

因此,瑞星发出黄色(三级)安全警报,瑞星反病毒专家预测将会有更多的电脑受到该病毒攻击,"魔波"病毒甚至有可能会像"冲击波"、"震荡波"病毒一样大规模爆发.


（图为系统遭受病毒攻击，出现服务崩溃症状）

根据分析,"魔波"病毒会自动在网络上搜索具有系统漏洞的电脑,并直接引导这些电脑下载病毒文件并执行.只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染.感染该病毒的计算机会自动连接特定IRC服务器的特定频道,接受黑客远程控制命令.用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取.由于病毒连接的IRC服务器在中国境内,因此该病毒很有可能为国人编写.

针对此恶性病毒,瑞星已经升级.瑞星杀毒软件2006版18.40.01版及更高版本可彻底查杀此病毒,请广大用户及时.同时,瑞星建议用户开启瑞星个人防火墙2006版,并关闭139及445端口.同时,登陆微软网站下载并安装MS-06-040补丁程序以防范此病毒攻击.遭受到该病毒攻击的用户,也可以拨打反病毒急救电话:010-82678800寻求帮助.

(注:该等级警报为2006年度第一次发布)
该病毒金山和江民KV命名为“魔鬼波”，瑞星命名为“魔波”。
相关信息：
　　该病毒为蠕虫病毒，运行后，在系统目录下建立大小为9609字节的病毒文件wgareg.exe，该病毒文件经过加壳处理。病毒建立下面服务，以使自己可以在系统启动时自动运行。
服务名：Windows Genuine Advantage Registration Service
服务程序：wgareg.exe
描述：Ensures that your copy of Microsoft Windows is genuine and registered.Stopping or disabling this service will result in system instability.
　　该病毒通过TCP端口445利用MS06-040漏洞进行传播。蠕虫的传播过程可以在用户不知情的情况下主动进行，可能造成services.exe崩溃等现象。蠕虫还可通过AOL即时通讯工具自动发送包含恶意链接的消息。
运行成功后，病毒会连接IRC服务器接收黑客命令，黑客的IRC服务器域名为：
bniu.househot.com
ypgw.wallloan.com
　　经江民反病毒专家查询，以上2个服务器的IP分别位于贵州六盘水市电信和上海大学新校区。通过黑客命令，“魔鬼波”蠕虫可以进行下载运行任意程序，进行拒绝服务攻击(DDoS)等活动，使得用户计算机完全被黑客控制。


能够查杀该病毒的杀毒软件版本：
瑞星杀毒软件2006版18.40.01版及更高版本
金山毒霸06.08.14.10版及更高版本
KV2006 8月14日病毒库及之后

微软MS06-040漏洞补丁下载：
Microsoft Windows 2000 Service Pack 4：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=3b61153d-359f-4441-a448-24062cb2387c
Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2996b9b6-03ff-4636-861a-46b3eac7a305
Microsoft Windows XP Professional x64 Edition：
http://www.microsoft.com/downloads/details.aspx?FamilyId=314c7c2c-9a02-4e56-98cf-97703fecf0be
Microsoft Windows Server 2003 和 Microsoft Windows Server 2003 Service Pack 1：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=a0058f39-6dea-4dfc-9dd6-4cb45b305dec
Microsoft Windows Server 2003 x64 Edition：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=a0058f39-6dea-4dfc-9dd6-4cb45b305dec

专杀工具下载：
金山开发的专杀工具：http://db.kingsoft.com/download/3/247.shtml
江民开发的专杀工具：http://www.jiangmin.com/download/mocbotkiller.exe
瑞星开发的专杀工具：暂无

把系统的自动升级打开就是了，这补丁我9号就下载了。

升级了病毒库,打了补丁~~`~我的电脑现在应该是安全的!

現在我就有開機死機的狀況

前天有个朋友才中了,升级就行了

干掉病毒后打开防火墙，禁用Client、Server两个系统服务，如果你不用Windows的文件和打印机共享的话。