概述

症状

辨别

清除

概述

病毒名称：“魔鬼波”（Worm.IRC.WargBot.a），又称魔鬼冲击波病毒，它是IRCBot黑客后门病毒的新变种；“魔鬼波”（Worm.IRC.WargBot.b），该变种在变种a的基础上进行了加密处理。

魔鬼波病毒危害：都通过IRC聊天频道使系统接受黑客的控制，沦为“肉鸡”，可能导致RPC服务崩溃，用户无法上网。

魔鬼波病毒病毒特征：（Worm.IRC.WargBot.a）病毒利用微软06-040漏洞进行传播；(Worm.IRC.WargBot.b）是一个利用微软S06-040漏洞进行传播的蠕虫病毒。

魔鬼波病毒发作症状：魔鬼波病毒都在受感染系统中生成以下病毒文件：%system%wgareg.exe；并添加服务，通过服务启动HKEY_LOCAL_MACHINE SYSTEM Current Control SetService swgareg"ImagePath"="%system%wgareg.exe"。同时，通过修改下列注册表信息降低系统安全等级，使用命令进行远程控制，并连接下列IRC服务器接受黑客控制；并利用Windows系统服务远程缓冲区漏洞(MS06-040)进行主动攻击，可能导致网络瘫痪、系统崩溃。（病毒还可注入explorer.exe进程。上网一段时间后后提示错误，并且无法上网，需要重新启动。现在的杀毒软件都可以查杀此毒，请大家放心

症状

1、系统服务出错

2、SVCHOST.EXE程序出错

3、网络经常不正常断开。而且一般重启之后能连接几分钟，然后又会断开。

魔鬼波病毒都在受感染系统中生成以下病毒文件：%system%wgareg.exe；并添加服务，通过服务启动HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswgareg"ImagePath"="%system%wgareg.exe"。同时，通过修改下列注册表信息降低系统安全等级，使用命令进行远程控制，并连接下列IRC服务器接受黑客控制，；并利用Windows系统服务远程缓冲区漏洞(MS06-040)进行主动攻击，可能导致网络瘫痪、系统崩溃。（Worm.IRC.WargBot.b）病毒还可注入explorer.exe进程。上网一段时间后后提示错误，并且无法上网，需要重新启动。

辨别

1、运行后生成m%\\wgareg.exe文件，添加系统服务为wgareg，并通过修改注册表信息降低系统安全等级；

2、连接黑客指定的IRC频道，控制用户电脑；

3、系统服务崩溃，无法上网；

遇到“魔鬼波”病毒攻击，用户无需恐慌。您只需按照下面三个方法，即可快速清除。

清除

第一招：使用个人防火墙拦截病毒攻击

打开天网防火墙，新建两条规则限制139和445端口，大家可以下载现成魔鬼波防御规则，然后进入自定义规则栏，导入规则然后保存；当然，也可以自己编写，编写好规则后保存即可。编写步骤如下：

封堵139端口

封堵445端口

第二招：打补丁

您可以登录微软的网站下载并安装对应操作系统的补丁程序。建议大家访问/安装所有的关键更新以防止利用其它漏洞进行传播和破坏的病毒。

第三招：清除病毒

由于该病毒的变种数量较多，每一个变种生成的文件位置都不一样，因此手工清除这个病毒并不是很方便，建议大家升级杀毒软件到最新版本来对此病毒进行查杀。