“Worm.Mocbot.a”的意思、由来-中文百科全书

资料

病毒名称：魔波（Worm.Mocbot.a）魔波变种B（Worm.Mocbot.b）

文件类型：PE

驻留内存：是

文件大小：9,313 bytes MD5: 2bf2a4f0bdac42f4d6f8a062a7206797（Worm.Mocbot.a）

9,609 bytes MD5: 9928a1e6601cf00d0b7826d13fb556f0（Worm.Mocbot.b）

发现日期：2006-8-14

危害等级：★★★★

受影响系统：Windows2000/XP

该病毒利用MS06-040漏洞进行传播。传播过程中可导致系统服务崩溃，网络连接被断开等现象。

被感染的计算机会自动连接指定的IRC服务器，被黑客远程控制，同时还会自动从互联网上下载的一个名为“等级代理木马变种AWP（Trojan.Proxy.Ranky.awp）”的木马病毒。

分析报告

：

一、生成文件

：

“魔波（Worm.Mocbot.a）”病毒运行后，将自身改名为“wgavm.exe”并复制到%SYSTEM%中。

“魔波变种B（Worm.Mocbot.b）”病毒运行后，将自身改名为“wgareg.exe”并复制到%SYSTEM%中。

二、启动方式

：

病毒会创建系统服务，实现随系统启动自动运行的目的。

“魔波（Worm.Mocbot.a）”：

服务名: wgavm

显示名: Windows Genuine Advantage Validation Monitor

描述: Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.

“魔波变种B（Worm.Mocbot.b）”

服务名: wgareg

显示名: Windows Genuine Advantage Registration Service

描述: Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.

三、修改注册表项目

，禁用系统安全中心和防火墙等

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Security Center

AntiVirusDisableNotify = "dword:00000001"

AntiVirusOverride = "dword:00000001"

FirewallDisableNotify = "dword:00000001"

FirewallDisableOverride = "dword:00000001"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Ole

EnableDCOM = "N"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa

restrictanonymous = "dword:00000001"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\

Services\\SharedAccess

Start = "dword:00000004"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\

WindowsFirewall\\DomainProfile

EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\

WindowsFirewall\\StandardProfile

EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\

lanmanserver\\parameters

AutoShareWks = "dword:00000000"

AutoShareServer = "dword:00000000"

四、连接IRC服务器，接受黑客指令

自动连接ypgw.wallloan.com、bniu.househot.com服务器，接受指令。使中毒计算机可被黑客远程控制。

五、试图通过AIM

(Aol Instant Messegger)传播

会在AIM(Aol Instant Messegger)中发送消息，在消息中包含一个URL(下载地址)，如果用户点击地址并下载该地址的程序，则好友列表里的人都将收到该条包含URL的消息。

六、利用MS06-040漏洞传播

该病毒会利用Microsoft Windows Server服务远程缓冲区溢出漏洞（MS06-040 Microsoft Windows的Server服务在处理RPC通讯中的恶意消息时存在溢出漏洞，远程攻击者可以通过发送恶意的RPC报文来触发这个漏洞，导致执行任意代码)

微软的补丁地址：http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx?pf=true

七、自动在后台下载其它病毒

会自动从互联网上下载名为“等级代理木马变种AWP（Trojan.Proxy.Ranky.awp）”，该病毒会在用户计算机TCP随机端口上开置后门。

词条	Worm.Mocbot.a
释义	资料分析报告(一、生成文件二、启动方式三、修改注册表项目四、连接IRC服务器，接受黑客指令五、试图通过AIM 六、利用MS06-040漏洞传播七、自动在后台下载其它病毒) 资料病毒名称：魔波（Worm.Mocbot.a）魔波变种B（Worm.Mocbot.b）文件类型：PE 驻留内存：是文件大小：9,313 bytes MD5: 2bf2a4f0bdac42f4d6f8a062a7206797（Worm.Mocbot.a） 9,609 bytes MD5: 9928a1e6601cf00d0b7826d13fb556f0（Worm.Mocbot.b）发现日期：2006-8-14 危害等级：★★★★ 受影响系统：Windows2000/XP 该病毒利用MS06-040漏洞进行传播。传播过程中可导致系统服务崩溃，网络连接被断开等现象。被感染的计算机会自动连接指定的IRC服务器，被黑客远程控制，同时还会自动从互联网上下载的一个名为“等级代理木马变种AWP（Trojan.Proxy.Ranky.awp）”的木马病毒。分析报告：一、生成文件： “魔波（Worm.Mocbot.a）”病毒运行后，将自身改名为“wgavm.exe”并复制到%SYSTEM%中。 “魔波变种B（Worm.Mocbot.b）”病毒运行后，将自身改名为“wgareg.exe”并复制到%SYSTEM%中。二、启动方式：病毒会创建系统服务，实现随系统启动自动运行的目的。 “魔波（Worm.Mocbot.a）”：服务名: wgavm 显示名: Windows Genuine Advantage Validation Monitor 描述: Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability. “魔波变种B（Worm.Mocbot.b）” 服务名: wgareg 显示名: Windows Genuine Advantage Registration Service 描述: Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability. 三、修改注册表项目，禁用系统安全中心和防火墙等 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Security Center AntiVirusDisableNotify = "dword:00000001" AntiVirusOverride = "dword:00000001" FirewallDisableNotify = "dword:00000001" FirewallDisableOverride = "dword:00000001" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Ole EnableDCOM = "N" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa restrictanonymous = "dword:00000001" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\ Services\\SharedAccess Start = "dword:00000004" HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\ WindowsFirewall\\DomainProfile EnableFirewall = "dword:00000000" HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\ WindowsFirewall\\StandardProfile EnableFirewall = "dword:00000000" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ lanmanserver\\parameters AutoShareWks = "dword:00000000" AutoShareServer = "dword:00000000" 四、连接IRC服务器，接受黑客指令自动连接ypgw.wallloan.com、bniu.househot.com服务器，接受指令。使中毒计算机可被黑客远程控制。五、试图通过AIM (Aol Instant Messegger)传播会在AIM(Aol Instant Messegger)中发送消息，在消息中包含一个URL(下载地址)，如果用户点击地址并下载该地址的程序，则好友列表里的人都将收到该条包含URL的消息。六、利用MS06-040漏洞传播该病毒会利用Microsoft Windows Server服务远程缓冲区溢出漏洞（MS06-040 Microsoft Windows的Server服务在处理RPC通讯中的恶意消息时存在溢出漏洞，远程攻击者可以通过发送恶意的RPC报文来触发这个漏洞，导致执行任意代码) 微软的补丁地址：http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx?pf=true 七、自动在后台下载其它病毒会自动从互联网上下载名为“等级代理木马变种AWP（Trojan.Proxy.Ranky.awp）”，该病毒会在用户计算机TCP随机端口上开置后门。
随便看	中国法律十二讲中国法律硕士联盟中国法律思想导论：故事与观念中国法律思想发展简史中国法律思想简史中国法律思想简史第二版中国法律思想史——21世纪法学规划教材中国法律思想史教材中国法律思想史教程中国法律思想史十讲中国法律思想史新编中国法律思想史自学考试指导与题解中国法律文化论集中国法律文书学中国法律语言鉴衡中国法律语言学展望中国法律援助年鉴2005 中国法律援助年鉴2009年中国法律援助制度培训教程中国法律知识释要中国法律制度概要中国法律制度史中国法律专业汉语教程中国法律咨询中心中国法律资源全互动数据库