西北农林科技大学信息化管理处（网络与教育技术中心）-全讯官网

症状：格c后重装，问题依旧。
1：网络连接后的某一时间，突然任务栏变成经典界面或者任务栏部分一小块地方变成经典界面
2：任务栏变化后自动断网，但任务栏右下角adsl网络连接仍连接着，单击网络连接图标，显示0.5秒后消失
3：发作后电脑没有声音了
我现在把补丁贴上来，还没中的朋友们大家赶快打上，中了的朋友们把病毒库升级到最近然后全盘查杀完了以后再打上，防火墙及时开启。backdoor.win32.ircbot.st 蠕虫公告
author: killer (killerxfocus.org)
一、病毒描述：
  近日，一种新的bot蠕虫现身网络，该蠕虫利用最新的ms06040漏洞传播，目前已经有多个变种。从分析上看，基本目的为发动拒绝服务攻击，蠕虫主要内置了syn/udp/scan等命令。
二、病毒基本情况：
  [file info]
  file:     c:\win2k\system32\wgareg.exe
  size|attrib: 0x2589 (9609), (disk) 0x2589 (9609) | (attrib) archive
  packer:mew
  
三、病毒行为：
  1、病毒体执行后，将自身拷贝到系统目录：
    %system%\wgareg.exe
    
    创建文件：%windir%\debug\dcpromo.log
    
  
  2、添加系统服务确保自身在系统重启动后被加载：
    服务名：wgareg
    显示名称：windows genuine advantage registration service
    服务描述：ensures that your copy of microsoft windows is genuine and registered. stopping or disabling this service will result in system instability.
    对应文件：%system%\wgareg.exe
    
    
  3、连接irc地址，接受远程命令控制：
    
    域名：ypgw.wallloan.com
        bniu.househot.com
    
    
    irc ip：58.81.137.157   端口：18067
    irc ip：61.163.231.115   端口：18067
    irc ip：202.121.199.200 端口：18067
    irc ip：61.189.243.240 端口：18067
    ...
  4、修改多处注册表键，用以关闭杀毒软件、防火墙降低系统安全性。
  
  5、该蠕虫和还会下载其它木马，目前截获下载的木马为：trojan-proxy.win32.ranky.fv
四、临时全讯官网的解决方案：见顶。
 

作者：网络中心 　　 来源：网络中心