“魔波”来袭,看我亮剑除魔
网络安全
微软公司在本月发布了12款安全补丁软件,其中利用Microsoft Windows Server服务远程缓冲区溢出漏洞(MS06-040)的攻击程序潜在威胁更大。由于系统的Server 服务中存在一个远程执行代码漏洞,成功利用此漏洞的攻击者可以完全控制受影响的系统。
在上周的安全周报中,阿良特别指出,如果成功利用该漏洞,甚至可能出现具有像冲击波、震荡波病毒一样的传播能力的恶意蠕虫。本周,阿良就接到读者电话求救,说他的ADSL莫名断网、系统崩溃,不知道该怎么办。阿良本期就手把手教大家防“魔波”。首先,我们先认识一下“魔波”病毒。
深度剖析“魔波”
在网上爆发的是“魔波”(Worm.Mocbot.a)蠕虫病毒和该病毒最新的变种“Worm.Mocbot.b”。此变种同原版一样通过MS06-040漏洞主动传播,但是病毒还可注入explorer.exe进程。
“魔波”的传播方式
“魔波”通过TCP端口445利用MS06-040漏洞进行传播,它会自动在网络上搜索具有系统漏洞的电脑,并直接引导这些电脑下载病毒文件并执行。
另外,蠕虫还可通过AOL等即时通讯工具自动发送包含恶意链接的消息。用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。
“魔波”的危害
病毒的传播过程可以在用户不知情的情况下主动进行,可能造成services.exe崩溃等现象。感染该病毒的计算机会自动连接特定IRC服务器的特定频道,接受黑客远程控制命令。用户的银行卡账号、密码及其他隐私信息都有可能被黑客窃取。
病毒攻击将导致系统服务崩溃,网络连接被断开等现象。被感染的计算机会自动连接指定的IRC服务器,被黑客远程控制,同时还会自动从互联网上下载一个名为“等级代理木马变种AWP(Trojan.Proxy.Ranky.awp)”的木马病毒,该病毒会在用户计算机TCP随机端口上开置后门。
如果你的系统出现上网速度突然减慢、系统服务崩溃、注册表项目被修改,禁用系统安全中心和防火墙等,那么你的系统就有可能已经感染了“魔波”病毒(图1)。
“魔波”在系统中的“蛛丝马迹”
要判断自己的电脑中了“魔波”病毒,我们除了从病毒发作的症状上判断,还可以在自己的电脑中逮住“魔波”的“狐狸尾巴”。
魔波病毒在系统中会生成以下两个文件:
1.“魔波(Worm.Mocbot.a)”病毒运行后,将自身改名为“wgavm.exe”并复制到%SYSTEM%中。
2.“魔波变种B(Worm.Mocbot.b)”病毒运行后,将自身改名为“wgareg.exe”并复制到%SYSTEM%中。
“魔波”会创建服务,实现随系统启动自动运行的目的。以下两个服务就是目前“魔波”病毒会创建的服务。
1.“魔波(Worm.Mocbot.a)”:服务名: wgavm
2.“魔波变种B(Worm.Mocbot.b)”服务名: wgareg
除了系统中“魔波”会创建文件和服务外,它还会修改注册表项目,禁用系统安全中心和防火墙;让系统连接IRC服务器,接受黑客指令;自动连接ypgw.wallloan.com、bniu.househot.com服务器;会自动从互联网上下载名为“等级代理木马变种AWP(Trojan.Proxy.Ranky.awp)”,该病毒会在用户计算机TCP随机端口上开置后门。
“魔波”防范策略
我们知道了“魔波”病毒的特性后,就可以有效地进行防范。下面,阿良通过介绍国内常见的防火墙设置策略、手工防范和查杀策略来教大家全方位绞杀“魔波”病毒。
防火墙防毒方案
瑞星防火墙
(1)在瑞星防火墙主界面中,单击“设置”菜单下的“详细设置”命令,随即弹出设置界面。
(2)单击“IP规则”项目后,选中其中的“禁止135,445(TCP)”选项后退出即可(图2)。
金山网镖
(1)运行金山网镖,点击“工具”菜单下的“配置选项”命令,弹出一个“配置选项”窗口(图3)。
(2)选择“高级”选项卡,并点击“添加”按钮,在弹出的“端口”窗口中进行设置。
(3)首先在“端口”选项中设置为“445”,然后在“操作”选项中设置为“禁止”选项,其他的选项按照默认设置即可(图4)。
(4)完成设置,点“确定”退出就可以对445端口进行封堵。
手工防御方案
使用网络防火墙封堵系统默认打开的TCP 139和445端口,切断病毒入侵的途径,如果没有网络防火墙可以使用,可以通过对本地注册表进行设置达到关闭445端口的目的,进而防范病毒的入侵。由于TCP 445端口在Windows 2000/XP以及Windows Server 2003系统中,是专门通过TCP/IP协议直接运行SMB来共享文件、打印机、以及串行端口,而对于普通的个人用户来说,我们根本不需要使用这个端口,所以即使没有出现“魔波”病毒,大家也应该尽快关闭445端口。
点击“开始”菜单中的“运行”命令,输入“regedit”命令打开注册表编辑器。依次找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters项,然后在编辑窗口的右边空白处点击鼠标右键,在弹出的 “新建”菜单中选择“DWORD值”,将新建的DWORD参数命名为“SMBDeviceEnabled”,数值为缺省的“0”。送出RegEdit,重启机器后,再运行“netstat –an”命令进行查看,你将会发现系统的445端口已经不再Listening(监听)了。
关闭139端口的方法,首先进入“网络连接”设置窗口,接着选择“本地连接”中的“属性”命令。然后在弹出的“本地连接属性”窗口中选取“Internet协议(TCP/IP)”选项并点击“属性”按钮。最后进入“高级TCP/IP设置”窗口,选择“WINS设置”选项卡,在里面有一项“禁用TCP/IP的NETBIOS”,选择该选项后就会关闭139端口了。
手工清除方案
1.在任务管理器里面结束wgavm.exe进程或wgareg.exe进程。
2.在开始菜单中的“运行”命令中执行REGEDIT,接着在注册表编辑器下依次找到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services这一项,然后在其下方找到wgavm或wgareg这一项后删除它。
3.将病毒在系统目录下创建的wgavm.exe或wgareg.ex文件删除。
专杀工具推荐与漏洞补丁下载
安装最新版本的杀毒软件,并且升级到最新的病毒库防止该病毒的入侵和完全查杀该病毒。如果暂时没有杀毒软件可以使用的话,可以下载由金山公司、江民公司等推出的专杀工具进行查杀。
金山专杀工具:http://db.kingsoft.com/download/3/247.shtml
江民专杀工具:http://www.jiangmin.com/download/mocbotkiller.exe
使用Windows系统自带的 Update功能尽快安装上最新的补丁。微软最新发布的补丁中,公告号为MS06-040的补丁即为修补该漏洞的最新补丁,打上最新补丁可保证系统免受病毒入侵。
MS06-040漏洞补丁:
http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx
最后专家进一步强调,由于目前该病毒主要攻击Windows2000和WindowsXP SP1的操作系统,对Windows XP SP2和Windows2003 SP1只会形成攻击,造成RPC服务崩溃、无法上网等现象,而不会被感染病毒。专家指出,由于利用该漏洞的相关病毒可能会不断出现其他变种,所以提醒安装Windows XP SP2和Windwos2003 SP1系统的电脑用户同样不能掉以轻心。