§ 概述

魔鬼波病毒病毒名称：“魔鬼波”（Worm.IRC.WargBot.a），又称魔鬼冲击波病毒，它是IRCBot黑客后门病毒的新变种；“魔鬼波”（Worm.IRC.WargBot.b），该变种在变种a的基础上进行了加密处理。

魔鬼波病毒危害：都通过IRC聊天频道使系统接受黑客的控制，沦为“肉鸡”，可能导致RPC服务崩溃，用户无法上网。

魔鬼波病毒病毒特征：（Worm.IRC.WargBot.a）病毒利用微软06-040漏洞进行传播；(Worm.IRC.WargBot.b）是一个利用微软S06-040漏洞进行传播的蠕虫病毒。

§ 症状

蠕虫病毒1、系统服务出错

2、SVCHOST.EXE程序出错

3、网络经常不正常断开。而且一般重启之后能连接几分钟，然后又会断开。

魔鬼波病毒都在受感染系统中生成以下病毒文件：%system%wgareg.exe；并添加服务，通过服务启动HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswgareg"ImagePath"="%system%wgareg.exe"。同时，通过修改下列注册表信息降低系统安全等级，使用命令进行远程控制，并连接下列IRC服务器接受黑客控制：ypgw.wallloan.com，bniu.househot.com；并利用Windows系统服务远程缓冲区漏洞(MS06-040)进行主动攻击，可能导致网络瘫痪、系统崩溃。（Worm.IRC.WargBot.b）病毒还可注入explorer.exe进程。上网一段时间后后提示错误，并且无法上网，需要重新启动。

距魔鬼波蠕虫被截获仅仅几个小时，其变种病毒魔鬼波变种B（Worm.IRC.WargBot.b）再次疯狂攻击互联网。金山毒霸反病毒监测中心已经发布四级病毒预警，中国已经有3128例感染求助。

§ 辨别

1、运行后生成m%\\wgareg.exe文件，添加系统服务为wgareg，并通过修改注册表信息降低系统安全等级；

2、连接黑客指定的IRC频道，控制用户电脑；

3、系统服务崩溃，无法上网；

遇到“魔波”病毒攻击，用户无需恐慌。您只需按照下面三个方法，即可快速

§ 清除方法

防火墙第一招：使用个人防火墙拦截病毒攻击

打开天网防火墙，新建两条规则限制139和445端口，大家可以下载现成魔鬼波防御规则，然后进入自定义规则栏，导入规则然后保存；当然，也可以自己编写，便写好规则后保存即可。编写步骤如下：

封堵139端口

封堵445端口

第二招：打补丁

您可以登录微软的网站http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx下载并安装对应操作系统的补丁程序。建议大家访问http://update.microsoft.com/安装所有的关键更新以防止利用其它漏洞进行传播和破坏的病毒。

第三招：清除病毒

由于该病毒的变种数量较多，每一个变种生成的文件位置都不一样，因此手工清除这个病毒并不是很方便，建议大家升级杀毒软件到最新版本来对此病毒进行查杀。

§ 专杀工具

适用平台：Win9x/NT/2000/XP/2003

更新版本：2006.8.14.13

工具大小：144KB

下载地址：http://db.kingsoft.com/download/3/247.shtml

工具说明：支持魔鬼波（Worm.IRC.WargBot.a,Worm.IRC.WargBot.b）两个变种的查杀。

网络上“魔鬼波”（Backdoor/Mocbot.b）病毒威害愈演愈烈，这个被称为“2006年第一波攻击”的高危病毒已经让很多用户深受其害。“魔鬼波”病毒是一个具有木马性质的蠕虫病毒，用户电脑一旦中招，不仅会被黑客完全控制电脑，窃取用户的重要信息，同时也会成为黑客的傀儡机器，会在用户不知情的情况下主动传播“魔鬼波”病毒，比如通过聊天工具发送包含病毒的恶意网站链接等。目前“魔鬼波”病毒的传播速度非常快，并且已经产生了多个变种病毒，ESETNOD32用户只要做好以下措施，就可以从容应对“魔鬼波”病毒的威胁，确保你的电脑安全无忧。

第一步：打开ESETNOD32控制中心，依次点击“AMON”、“DMON”、“EMON”和“IMON”选项，分别勾选“启动文件实时监控”、“启动MSOffice文件实时防护”、“启动MSOutlook电子邮件防护”和“已启动网络监视”选框，启动ESETNOD32的全部实时监控功能。

第二步：依次点击“ESETNOD32系统工具/ESETNOD32系统设定”选项，在右侧窗口中点击“ThreatSense.net”选项，勾选“启动ThreatSense.net预警系统”选框，点击“确定”按钮即可。

第三步：依次点击“ESETNOD32系统工具/排程器/计划器”选项，勾选“自动更新将在拨号联机后执行”选框，点击“确定”按钮即可

经过以上设置后，在电脑连接上网后，ESETNOD32会自动更新到最新的病毒库。它的实时监控功能可以有效监测用户的文件执行和上网行为，及时发现和阻止“魔鬼波”病毒的运行和下载。在整个监控过程中，ESETNOD32先进的ThreatSense杀毒引擎可以在安全的环境中对于可疑文件进行前摄性操作，预先分析和辨别可疑文件在执行后的动作和执行代码，从而辨别出它是否具有病毒特征，这样就可以及早发现和处理新的未知“魔鬼波”变种病毒，有效避免新病毒的危害。

§ 解决方法

电脑病毒播报 1.最简单的方法就是登陆微软网站下载并安装MS-06-040补丁程序：

微软网站

FORWINDOWSXP的补丁在我空间的文件共享里面有，可以直接从我这儿下载：

魔波补丁

其他系统的还是去微软那儿下吧。

2.有条件的用自己电脑上的防火墙把“139,445”两个端口关闭。不会的就算了。

3.把自己的杀毒软件更新到最新版本然后手动查杀一下。

4.最好登陆WINDOWS更新的网页把所有的补丁都打上。或者开启WINDOWS的自动更新功能。

具体办法：点开始－WINDOWSUPDATE

控制面板－系统属性－自动更新－改成第一项（设定一个自己经常上网的时间）或者改成第二项（这项下载完后要手动安装一下的）

1、启动个人防火墙主程序（以瑞星个人防火墙为例，其它类型的安全防火墙设置方法基本一样），点击“设置”菜单，　选择“IP规则”。

2、在弹出的“设置瑞星个人防火墙IP规则”窗口中点击“增加规则”按钮。

3、规则名称填入“MS06-040”，执行动作为“禁止”，然后点击“下一步”。对方地址设置为“任意地址”，本地地址设置为“所有地址”，协议类型选择“TCP”，对方端口选择“任意端口”，本地端口选择“端口列表”并在其下面输入“139,445”，报警方式选择“托盘动画”和“日志记录”两项选中，点击保存。

该病毒利用系统高危漏洞进行传播，病毒会自动在网络上搜索具有系统漏洞的电脑，并直接引导这些电脑下载病毒文件并执行。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。感染该病毒的计算机会接受黑客远程控制命令。用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取。

§ 相关词条

木马病毒冲击波震动波蠕虫

防火墙安全系统修复系统漏洞

§ 参考资料

［1］金山毒霸 http://db.kingsoft.com/zt/WargBot/

［2］ 斑马网 http://nod32.banma.com/news/20070918/7346.shtml

• CRT电视机
• crucial
• cruciform
• cruel
• cruet
• cruiser
• cruiserweight
• crumble
• crummy
• crumple
• Crusader
• cruse
• crush
• crusty
• crutch
• cry
• cryogenics
• crypserv.exe
• crypt
• crypt32.dll
• Cryptic Era
• CryptoAPI
• cryptogram
• cryptography
• Cryptopsy