利用系统漏洞，魔波病毒再演冲击波

　　一波未平一波又起，“冲击波”、“震荡波”的阴霾还没在们心头抹去，网络病毒再度袭来。8月14日上午，瑞星全球反病毒监测网在国内率先截获到两个利用系统漏洞进行传播的恶性病毒——“魔波(Worm.Mocbot.a)”和“魔波变种B(Worm.Mocbot.b)病毒。据瑞星客户服务中心统计，目前国内已有数千用户遭受到该病毒攻击。

　　一、症状及危害

　　该病毒会利用微软MS06-040公告中公布的安全漏洞进行传播。当用户的计算机遭受到该病毒攻击时，会出现系统服务崩溃(如图1)，无法上网等症状。据专家分析，该病毒会自动在网络上搜索具有系统漏洞的电脑，并直接引导电脑下载病毒文件并执行。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。感染该病毒的计算机会自动连接特定IRC服务器的特定频道(由于病毒连接的IRC服务器在中国境内,因此该病毒很有可能为国人编写)，接受黑客远程控制命令。用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取。

　　小提示:MS06-040公告

　　微软在2006年8月8日发布该公告，在公告中，微软声称Server服务中的漏洞可能允许远程执行代码，为“严重”安全漏洞，建议相关用户应立即安装安全更新。Microsoft知识库文章编号为“KB921883”，受影响的系统为:

　　● Microsoft Windows 2000 Service Pack 4

　　● Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2

　　● Microsoft Windows XP Professional x64 Edition

　　● Microsoft Windows Server 2003 和 Microsoft Windows Server 2003 Service Pack 1

　　● Microsoft Windows Server 2003(用于基于 Itanium 的系统)和 Microsoft Windows Server 2003 SP1(用于基于 Itanium 的系统)

　　● Microsoft Windows Server 2003 x64 Edition

　　由于该病毒出现离微软发布补丁程序只有短短几天时间，有很多用户还没有来得及对系统进行更新，因此有专家预测将会有更多的电脑受到该病毒攻击，该病毒甚至有可能会像“冲击波”、“震荡波”病毒一样大规模爆发。

　　二、防范与清除

　　遇到“魔波”病毒攻击，用户无需恐慌，只需按照下面三个步骤，即可防范和清除该病毒。

　　第一步:使用个人防火墙拦截病毒攻击

　　此种方法主要是拦截139和445端口上的数据包，下面以天网防火墙为例介绍其方法。

　　⒈在系统托盘双击天网防火墙图标打开天网主程序，点击“IP规则管理”按钮切换到IP规则管理界面。

　　⒉在IP规则管理界面，点击“增加规则”按钮打开“增加规则”对话框，如图2所示，“名称”中填入“MS06-040(139)”，“对方地址”选择“任何地址”，数据包类型选择“TCP”，本地端口输入“139”，在下拉列表中选择“拦截”，最后点击“确定”即可关闭139端口上的通信。

　　⒊利用同样的方法关闭445端口上的通信。

　　第二步:打补丁

　　你可以登录微软的网站下载并安装对应操作系统的补丁程序。建议大家访问http://update.microsoft.com/安装所有的关键更新以防止利用其它漏洞进行传播和破坏的病毒。

　　第三步:清除病毒

　　由于该病毒的变种数量较多，每一个变种生成的文件位置都不一样，因此手工清除这个病毒并不是很方便，建议大家升级杀毒软件到最新版本来对此病毒进行查杀。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有