您现在的位置: 全讯官网-7003全讯入口» 全讯官网的公告

西北农林科技大学信息化管理处(网络与教育技术中心)-全讯官网

发布日期:2007-01-10  作者:网络中心 来源:网络中心
防治:请大家按装我校的趋势正版杀毒软件:  可杀。

症状:格c后重装,问题依旧。
1:网络连接后的某一时间,突然任务栏变成经典界面或者任务栏部分一小块地方变成经典界面
2:任务栏变化后自动断网,但任务栏右下角adsl网络连接仍连接着,单击网络连接图标,显示0.5秒后消失
3:发作后电脑没有声音了
我现在把补丁贴上来,还没中的朋友们大家赶快打上,中了的朋友们把病毒库升级到最近然后全盘查杀完了以后再打上,防火墙及时开启。backdoor.win32.ircbot.st 蠕虫公告
author: killer (killerxfocus.org)
一、病毒描述:
  近日,一种新的bot蠕虫现身网络,该蠕虫利用最新的ms06040漏洞传播,目前已经有多个变种。从分析上看,基本目的为发动拒绝服务攻击,蠕虫主要内置了syn/udp/scan等命令。
二、病毒基本情况:
  [file info]
  file:     c:\win2k\system32\wgareg.exe
  size|attrib: 0x2589 (9609), (disk) 0x2589 (9609) | (attrib) archive
  packer:mew
  
三、病毒行为:
  1、病毒体执行后,将自身拷贝到系统目录:
    %system%\wgareg.exe
    
    创建文件:%windir%\debug\dcpromo.log
    
  
  2、添加系统服务确保自身在系统重启动后被加载:
    服务名:wgareg
    显示名称:windows genuine advantage registration service
    服务描述:ensures that your copy of microsoft windows is genuine and registered. stopping or disabling this service will result in system instability.
    对应文件:%system%\wgareg.exe
    
    
  3、连接irc地址,接受远程命令控制:
    
    域名:ypgw.wallloan.com
        bniu.househot.com
    
    
    irc ip:58.81.137.157   端口:18067
    irc ip:61.163.231.115   端口:18067
    irc ip:202.121.199.200 端口:18067
    irc ip:61.189.243.240 端口:18067
    ...
  4、修改多处注册表键,用以关闭杀毒软件、防火墙降低系统安全性。
  
  5、该蠕虫和还会下载其它木马,目前截获下载的木马为:trojan-proxy.win32.ranky.fv
四、临时全讯官网的解决方案:见顶。
 

作者:网络中心    来源:网络中心

7003全讯入口 copyright © 2005-2022 西北农林科技大学信息化管理处(网络与教育技术中心)
网站地图