西北农林科技大学信息化管理处(网络与教育技术中心)-全讯官网
发布日期:2007-01-10 作者:网络中心 来源:网络中心
防治:请大家按装我校的趋势正版杀毒软件: 可杀。
症状:格c后重装,问题依旧。
1:网络连接后的某一时间,突然任务栏变成经典界面或者任务栏部分一小块地方变成经典界面
2:任务栏变化后自动断网,但任务栏右下角adsl网络连接仍连接着,单击网络连接图标,显示0.5秒后消失
3:发作后电脑没有声音了
我现在把补丁贴上来,还没中的朋友们大家赶快打上,中了的朋友们把病毒库升级到最近然后全盘查杀完了以后再打上,防火墙及时开启。backdoor.win32.ircbot.st 蠕虫公告
author: killer (killerxfocus.org)
一、病毒描述:
近日,一种新的bot蠕虫现身网络,该蠕虫利用最新的ms06040漏洞传播,目前已经有多个变种。从分析上看,基本目的为发动拒绝服务攻击,蠕虫主要内置了syn/udp/scan等命令。
二、病毒基本情况:
[file info]
file: c:\win2k\system32\wgareg.exe
size|attrib: 0x2589 (9609), (disk) 0x2589 (9609) | (attrib) archive
packer:mew
三、病毒行为:
1、病毒体执行后,将自身拷贝到系统目录:
%system%\wgareg.exe
创建文件:%windir%\debug\dcpromo.log
2、添加系统服务确保自身在系统重启动后被加载:
服务名:wgareg
显示名称:windows genuine advantage registration service
服务描述:ensures that your copy of microsoft windows is genuine and registered. stopping or disabling this service will result in system instability.
对应文件:%system%\wgareg.exe
3、连接irc地址,接受远程命令控制:
域名:ypgw.wallloan.com
bniu.househot.com
irc ip:58.81.137.157 端口:18067
irc ip:61.163.231.115 端口:18067
irc ip:202.121.199.200 端口:18067
irc ip:61.189.243.240 端口:18067
...
4、修改多处注册表键,用以关闭杀毒软件、防火墙降低系统安全性。
5、该蠕虫和还会下载其它木马,目前截获下载的木马为:trojan-proxy.win32.ranky.fv
四、临时全讯官网的解决方案:见顶。
作者:网络中心 来源:网络中心