重庆工业职业技术学院

你的位置：

> 首页 > 机构设置 > 教学部门 > 信息中心 > 安全公告


CCERT关于防范攻击微软MS06-040漏洞的蠕虫的公告
2006-09-21 17:14:08

影响系统：Windows 2000, Windows Server 2003, Windows XP蠕虫名称：W32.Wargbot[Symantec],WORM_IRCBOT.J* [Trend], IRC-Mocbot!MS06-040 [McAfee]，魔波 (Worm.Mocbot）[瑞星]详细信息：蠕虫感染主机后会执行以下操作：1. 将自身复制为文件： %System%\wgareg.exe 或者 %System%\wgavm.exe2. 创建一个具有以下特征的服务(service): 显示名称：Windows Genuine Advantage Registration Service 服务描述：Ensures that your copy of Microsoft Windows is genuine and registered.Stopping or disabling this service will result in system instability. 可执行文件路径：%System%\wgareg.exe或者是显示名称: Windows Genuine Advantage Validation Monitor 服务描述: Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability 可执行文件路径：%System%\wgavm.exe3. 为了创建上述服务，病毒还增加以下的注册表子项： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wgareg或者HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wgavm4. 为了禁用DCOM，在注册表子项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole 下增加值："enabledcom" = "n"5. 为了修改网络共享的访问权限，在注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 下增加值： "restrictanonymous" = "1" "restrictanonymoussam" = "1"6. 在注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\lanmanserver\parameters 下增加值： "autoshareserver" = "0" "autosharewks" = "0"7. 为了降低安全设置，在注册表项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center 下增加值： "antivirusdisablenotify" = "1" "antivirusoverride" = "1" "firewalldisablenotify" = "1" "firewalldisableoverride" = "1"8. 为了降低安全设置，在注册表项： HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windowsfirewall\domainprofile 下增加值： "enablefirewall" = "0"9. 为了降低安全设置，在注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess 下增加值： "enablefirewall" = "0"10. 修改Windows防火墙：在注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess 下增加值： "Start" = "4"11. 为删除原始的蠕虫文件，在进程explorer.exe中注入一段程序。12. 创建以下文件： %Windir%\debug\dcpromo.log 13. 在染毒电脑上安装IRC木马后门，后门程序会自动连接以下两个IRC服务器，IRC服务器的服务端口为18067： bniu.hous.com ypgw.walll.com14. 远程攻击者可以通过IRC聊天室向被感染的主机发送控制命令，根据命令不同，可能执行以下行为： •发动拒绝服务攻击 •扫描网络，以寻找可以攻击的电脑 •从网络下载并执行其它文件 •使用AOL即时消息工具发送一条消息（如果AOL Instant Messenger在运行的话） •远程启动命令提示符(command prompt)，使攻击者可以运行任何命令15. 可能收到命令，从 http://media.pixpond.com/l9rd下载一个文件。该文件是Backdoor.Ranky.X的副本，会在随机端口监听来自远程攻击者的命令并将染毒电脑的IP地址发送给yu.haxx.biz域中的一台服务器。16. 一旦接收到相应的命令，蠕虫会试图利用微软MS06-040公告中的漏洞向外传播。解决办法补丁下载：我们建议用户使用windows自带的update功能或者是我们提供的wsus服务（http://sus.ccert.edu.cn)进行补丁自动更新.如果无法自动更新，您可以到我们的网站上下载相应的补丁程序手动安装Windows 2000 中文版补丁英文版补丁Windows xp 中文版补丁英文版补丁Windows 2003 中文版补丁英文版补丁如果已经感染了该蠕虫，您可以按照以下方法清除：1、升级杀毒软件到最新的病毒库版本2、停止蠕虫运行的相关服务，方法如下： a.在开始运行中输入services.msc启动服务管理窗口 b.在服务管理窗口中寻找名为Windows Genuine Advantage Validation Monitor 或者是Windows Genuine Advantage Registration Service的服务 c.双击该服务，在弹出的窗口中选择停止该服务 d.关闭服务管理窗口3、使用杀毒软件进行全盘扫描，对查出来的病毒选择删除4、修复被蠕虫修改的注册表项，方法如下： a.点击开始>运行 b.敲入regedit c.点击“确定” d.循着窗口左边的树形结构，定位到子键： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole 在窗口右边，将下列条目恢复到原来的取值. "enabledcom"="n" e.定位到子键： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 在窗口右边，将下列条目恢复到原来的取值. "restrictanonymous" = "1" "restrictanonymoussam" = "1" f.定位到子键： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\lanmanserver\parameters 在窗口右边，将下列条目恢复到原来的取值 "autoshareserver" = "0" "autosharewks" = "0" g.定位到以下子键，并删除之 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wgareg h.退出注册表编辑器5、重新启用SharedAccess服务如果您的系统是Windows XP Service Pack 2，请执行以下步骤来重新启用Windows防火墙： a. 点击开始 > 控制面板 b. 双击安全中心 c. 确保防火墙安全被标识为 "启用(ON)" d. 如果未启动防火墙，请在建议处点击现在启用(Enable Now)，然后会出现一个窗口告诉你Windows防火墙已被成功启动。 e. 点击"关闭"，然后点"确定" f. 关闭安全中心如果您的系统是Windows 2000或Windows XP Service Pack 1或更早版本，请执行以下步骤，以重新启用SharedAccess服务： a. 点击开始 > 运行 b. 输入services.msc，点击 "确定" c. 对Windows 2000系统，在"名称"一栏中，找到"Internet Connection Sharing (ICS)"服务，并双击之。对Windows XP系统，在"名称"一栏中，找到"Internet Connection Firewall (ICF)/ Internet Connection Sharing (ICS)"服务，并双击之。 d. 将"启动类型"改为"自动". e. 在"服务状态"下，点击"启动"按钮 f. 当该服务完全启动后，点击"确定" g. 关闭服务窗口6、安装相应的补丁程序。文章来源：中国教育和科研计算机网急响应组

学院地址：重庆市袁家岗151号　版权所有：重庆工业职业技术学院

网站备案：渝ICP备05005712