快速导航
关于防范MocBot蠕虫(利用微软MS06-040漏洞)的公告
 
发布时间: 2006-08-18 浏览次数: 919
受影响的软件及系统:
====================
Microsoft Windows 2000 SP4
Microsoft Windows XP SP1
Microsoft Windows XP SP2
Microsoft Windows Server 2003
Microsoft Windows Server 2003 SP1

利用MS06-040漏洞的蠕虫(不同病毒厂商命名为:W32.Wargbot[Symantec]、IRC-Mocbot!MS06-040[McAfee]、Backdoor.Win32.IRCBot.st[Kaspersky]、WORM_IRCBOT.JK[Trend])已经开始大范围传播。存在MS06-040漏洞的主机都可能受该蠕虫影响:被成功感染的主机会被安装后门,没有感染成功的主机可能会出现系统自动倒计时重启、网络访问异常等情况。

解决方法:
==========
彻底消除蠕虫威胁的方法是安装MS06-040安全补丁:
我们建议用户使用windows自带的update功能或者是我们提供的sus服务
(http://sus.dhu.edu.cn)进行补丁自动更新.

如果已经感染了该蠕虫,您可以按照以下方法清除:

1、升级杀毒软件到最新的病毒库版本
2、停止蠕虫运行的相关服务,方法如下:
 a.在开始运行中输入services.msc启动服务管理窗口
 b.在服务管理窗口中寻找名为Windows Genuine Advantage Validation Monitor
     或者是Windows Genuine Advantage Registration Service的服务
 c.双击该服务,在弹出的窗口中选择停止该服务
 d.关闭服务管理窗口
3、使用杀毒软件进行全盘扫描,对查出来的病毒选择删除
4、修复被蠕虫修改的注册表项,方法如下:
 a.点击 开始>运行
 b.敲入regedit
 c.点击“确定”
 d.循着窗口左边的树形结构,定位到子键:
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
   在窗口右边,将下列条目恢复到原来的取值.
         "enabledcom"="n"
 e.定位到子键:    
     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
     在窗口右边,将下列条目恢复到原来的取值.
         "restrictanonymous" = "1"
         "restrictanonymoussam" = "1"
 f.定位到子键:  
     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\lanmanserver\parameters
     在窗口右边,将下列条目恢复到原来的取值
         "autoshareserver" = "0"
         "autosharewks" = "0"
 g.定位到以下子键,并删除之
     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wgareg
 h.退出注册表编辑器

5、重新启用SharedAccess服务

   如果您的系统是Windows XP Service Pack 2,请执行以下步骤来重新启用Windows防火墙:
    a. 点击 开始 > 控制面板
    b. 双击  安全中心
    c. 确保防火墙安全被标识为 "启用(ON)"
    d. 如果未启动防火墙,请在建议处点击现在启用(Enable Now),然后会出现一个窗口告
       诉你Windows防火墙已被成功启动。
    e. 点击"关闭",然后点"确定"
    f. 关闭安全中心

   
如果您的系统是Windows 2000或Windows XP Service Pack 1或更早版本,请执行以下步骤,
以重新启用SharedAccess服务:
      a. 点击  开始 > 运行
      b. 输入services.msc,  点击 "确定"
      c. 对Windows 2000系统, 在"名称"一栏中,找到"Internet Connection Sharing
        (ICS)"服务,并双击之。
         对Windows XP系统,在"名称"一栏中,找到"Internet Connection Firewall 
        (ICF)/ Internet Connection Sharing (ICS)"服务,并双击之。
      d. 将"启动类型"改为"自动".
      e. 在"服务状态"下,点击"启动"按钮
      f. 当该服务完全启动后,点击"确定"
      g. 关闭服务窗口

6、安装相应的补丁程序。


参考网址:
http://www.ccert.edu.cn/announce/show.php?handle=116
http://www.nsfocus.net/index.php?act=alert&do=view&aid=70
http://www.cert.org.cn