最近一些电脑突然出现“Generic Host Process for Win32 Services 遇到问题需要关闭。我们对此引起的不便表示抱歉。”还有“应用程序发生异常 未知的软件异常(0xc0000409) 位置为 0x5fdda3c0”这样的错误。
根据瑞星和江民的消息,很有可能你的电脑被感染上了“魔鬼波(魔波)”病毒。
“魔鬼波”蠕虫运行后,在系统目录下建立大小为9609字节的病毒文件wgareg.exe,该病毒文件经过加壳处理。病毒建立下面服务,以使自己可以在系统启动时自动运行。
服务名:Windows Genuine Advantage Registration Service
服务程序:wgareg.exe
描述:Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling
this service will result in system instability.
“魔鬼波”通过TCP端口445利用MS06-040漏洞进行传播。蠕虫的传播过程可以在用户不知情的情况下主动进行,可能造成services.exe崩溃等现象。蠕虫还可通过AOL即时通讯工具自动发送包含恶意链接的消息。
运行成功后,病毒会连接IRC服务器接收黑客命令,黑客的IRC服务器域名为:
bniu.househot.com
ypgw.wallloan.com
经江民反病毒专家查询,以上2个服务器的IP分别位于贵州六盘水市电信和上海大学新校区。
通过黑客命令,“魔鬼波”蠕虫可以进行下载运行任意程序,进行拒绝服务攻击(DDoS)等活动,使得用户计算机完全被黑客控制。
根据分析,“魔波”病毒会自动在网络上搜索具有系统漏洞的电脑,并直接引导这些电脑下载病毒文件并执行。只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。感染该病毒的计算机会自动连接特定IRC服务器的特定频道,接受黑客远程控制命令。用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取。由于病毒连接的IRC服务器在中国镜内,因此该病毒很有可能为国人编写。
解决方案:
登陆微软网站下载并安装MS-06-040补丁程序以防范此病毒攻击
下载页面(要根据自己的操作系统版本进行下载)
http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx
江民提供的“魔鬼波”蠕虫专杀工具
下载地址:http://www.jiangmin.com/download/mocbotkiller.exe
本文作者:佚名 来源:weste.net
CIO之家 www.ciozj.com 微信公众号:imciow