病毒名称：魔波（Worm.Mocbot.a）
　　　　　　　魔波变种B（Worm.Mocbot.b）
　　
　　文件类型：PE
　　
　　驻留内存：是
　　
　　文件大小：9,313 bytes  MD5: 2bf2a4f0bdac42f4d6f8a062a7206797（Worm.Mocbot.a）
　　　　　　　9,609 bytes  MD5: 9928a1e6601cf00d0b7826d13fb556f0（Worm.Mocbot.b）
　　
　　发现日期：2006-8-14
　　
　　危害等级：★★★★
　　
　　受影响系统：Windows2000/XP
　　
　　该病毒利用MS06-040漏洞进行传播。传播过程中可导致系统服务崩溃，网络连接被断开等现象。
　　
　　
　　
　　
　　 
　　被感染的计算机会自动连接指定的IRC服务器，被黑客远程控制，同时还会自动从互联网上下载的一个名为“等级代理木马变种AWP（Trojan.Proxy.Ranky.awp）”的木马病毒。
　　
　　分析报告：
　　
　　一、 生成文件：
　　
　　“魔波（Worm.Mocbot.a）”病毒运行后，将自身改名为“wgavm.exe”并复制到%SYSTEM%中。
　　
　　“魔波变种B（Worm.Mocbot.b）”病毒运行后，将自身改名为“wgareg.exe”并复制到%SYSTEM%中。
　　
　　二、 启动方式：
　　
　　病毒会创建系统服务，实现随系统启动自动运行的目的。
　　
　　“魔波（Worm.Mocbot.a）”：
　　
　　服务名: wgavm
　　
　　显示名: Windows Genuine Advantage Validation Monitor
　　
　　描述: Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.
　　
　　“魔波变种B（Worm.Mocbot.b）”
　　
　　服务名: wgareg
　　
　　显示名: Windows Genuine Advantage Registration Service
　　
　　描述: Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
　　
　　三、 修改注册表项目，禁用系统安全中心和防火墙等
　　
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
　　AntiVirusDisableNotify = "dword:00000001"
　　AntiVirusOverride = "dword:00000001"
　　FirewallDisableNotify = "dword:00000001"
　　FirewallDisableOverride = "dword:00000001"
　　
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
　　EnableDCOM = "N"
　　
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
　　restrictanonymous = "dword:00000001"
　　
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
　　Services\SharedAccess
　　Start = "dword:00000004"
　　
　　HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
　　WindowsFirewall\DomainProfile
　　EnableFirewall = "dword:00000000"
　　
　　HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
　　WindowsFirewall\StandardProfile
　　EnableFirewall = "dword:00000000"
　　
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
　　lanmanserver\parameters
　　AutoShareWks = "dword:00000000"
　　AutoShareServer = "dword:00000000"
　　
　　四、 连接IRC服务器，接受黑客指令
　　
　　自动连接ypgw.wallloan.com、bniu.househot.com服务器，接受指令。使中毒计算机可被黑客远程控制。
　　
　　五、 试图通过AIM(Aol Instant Messegger)传播
　　
　　会在AIM(Aol Instant Messegger)中发送消息，在消息中包含一个URL(下载地址)，如果用户点击地址并下载该地址的程序，则好友列表里的人都将收到该条包含URL的消息。
　　
　　六、 利用MS06-040漏洞传播
　　
　　该病毒会利用Microsoft Windows Server服务远程缓冲区溢出漏洞（MS06-040 Microsoft Windows的Server服务在处理RPC通讯中的恶意消息时存在溢出漏洞，远程攻击者可以通过发送恶意的RPC报文来触发这个漏洞，导致执行任意代码)
　　
　　微软的补丁地址：http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx?pf=true
　　
　　七、 自动在后台下载其它病毒
　　
　　会自动从互联网上下载名为“等级代理木马变种AWP（Trojan.Proxy.Ranky.awp）”，该病毒会在用户计算机TCP随机端口上开置后门。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: