【求助】请大家看看这是怎么回事? 浮游城-无图版

查看完整版本: [-- 【求助】请大家看看这是怎么回事? --]

登录 -> 注册 -> 回复主题 -> 发表主题

kina	2006-08-14 23:55
今天早晨开始,上网一段时间就出这个,然后虽然网络连接显示正常,但是实际上已经上不了网了,重装了还是一样. 杀毒没有病毒.

Zombie_WB	2006-08-15 00:47
格了重装还是不行这就比较奇怪了……

井上	2006-08-15 01:00
樓主說的是重裝，没有說格了。

xiao-_-rong	2006-08-15 01:17
网卡驱动？

永恒の翼

2006-08-15 01:26

中最新的病毒了，打补丁去吧……

http://db.kingsoft.com/news/seleak/ldbd/2006/08/09/90103.shtml

病毒发作状态：

1.运行后生成m%\wgareg.exe文件,添加系统服务为wgareg，并通过修改注册表信息降低系统安全等级；
2.连接黑客指定的IRC频道，控制用户电脑；
3.系统服务崩溃，无法上网；

另外：卡巴斯基5.0单机专业版及 KIS6.0 能直接防止此攻击……不必更新补丁都可以

kina	2006-08-15 06:28
怪不得,为了能得high id我把卡巴防火墙关了,昨晚怀疑是这个开了防火墙一晚没事,谢了

永恒の翼

2006-08-15 10:07

病毒档案：

这是IRCBot黑客后门病毒的新变种。该病毒利用MS06-040漏洞进行传播。该病毒的主要危害是通过IRC聊天频道是系统接受黑客的控制，沦为“肉鸡”，可能导致RPC服务崩溃，用户无法上网。

1，生成文件
%system%\wgareg.exe

2，添加服务，通过服务启动
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg
"ImagePath" = "%system%\wgareg.exe"

3，通过修改下列注册表信息降低系统安全等级
software\policies\microsoft\windowsfirewall\standardprofile
"enablefirewall" = 0

software\policies\microsoft\windowsfirewall\domainprofile
"enablefirewall" = 0

software\microsoft\security center
"firewalldisableoverride" = 1
"firewalldisablenotify" = 1
"antivirusoverride" = 1
"antivirusdisablenotify" = 1

system\currentcontrolset\services\lanmanserver\parameters
"autosharewks" = 0
"autoshareserver" = 0

system\currentcontrolset\control\lsa
"restrictanonymoussam" = 1
"restrictanonymous" = 1

software\microsoft\ole
"enabledcom" = "n"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
"Start" = 4

4，使用下列命令进行远程控制
NiCK %.24s
USeR l l l l
PRiVMSG %.16s :%.480s
JOiN %.16s %.16s
USeRHOST %.16s
001
302
332
NiCK %.24s
433
PRIVMSG
PoNG %.500s
PING
[exec] :(
[exec] :)
[ni] %.16s %.16s
QUiT
USER
PASS
OPER
JOIN

5，连接下列IRC服务器接受黑客控制
ypgw.wallloan.com
bniu.househot.com

6，会通过Windows系统服务缓冲区溢出漏洞（MS06-040）进行主动攻击，造成系统崩溃、网络瘫痪。

查看完整版本: [-- 【求助】请大家看看这是怎么回事? --] [-- top --]

Powered by PHPWind Code © 2003-08 PHPWind
Gzip enabled

You can contact us