你可能中了“魔波”病毒!是漏洞引起的!
2007-06-14 12:16
295 查看
你可能中了“魔波”病毒!是漏洞引起的!
下个补丁安上就行了 给你地址:
http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx
你这是中了魔波 据某外国网站介绍今天截获了一个利用 MS06-040 漏洞的蠕虫病毒并且主要攻击 win200系统
该病毒 在系统文件夹下释放 wgareg.exe 和wgavm.exe文件
该蠕虫会在系统中建立如下服务
服务名称 wgareg
服务描述 Windows Genuine Advantage Registration Service (windows正版 验证 服务)
描述 Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
服务名称 wgavm
服务描述 Windows Genuine Advantage Validation Monitor
具体描述 Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability..
可以看出来 是伪装 windows正版 验证的蠕虫
并且病毒会自动使用TCP 18067端口 连接bbjj.househot.com ypgw.wallloan.com
由于此病毒来势汹汹所以发布病毒预警!
解决办法 赶快打上 MS06-040 补丁!地址是http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx
wyc841314.51.com是我的博客
出现上面这个错误一般有三种情况。
1.就是病毒。开机后会提示Generic Host Process for Win32 Services 遇到问题需要
关闭”“Remote Rrocedure Call (RPC)服务意外终止,然后就自动重起电脑。一般该病毒会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立msblast.exe键值,还会在c:\windows\system32目录下会放置一个msblast.exe的木马程,解决方案如下:
RPC漏洞
详细描述:
最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个安全漏洞。该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限,他将可以在系统上运行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理员权限的帐户等.
已发现的一个攻击现象:
攻击者在用户注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立一个叫“msupdate”(估计有变化)的键,键值一般为msblast.exeC:\windows\system32目录下会放置一个msblast.exe的木马程序.
另外受攻击者会出现“Generic Host Process for Win32 Services 遇到问题需要关闭”“Remote Rrocedure Call (RPC)服务意外终止,Windows必须立即重新启动”等错误信息而重启。
建议到http://www.microsoft.com/security/security_bulletins/ms03-026.asp下载相应补丁。如果已受攻击,建议先拔掉网线,在任务管理器中结束msblast.exe进程,清除注册表中的相应条目,删除system32下的木马程序,最后打补丁。
第二种情况是排除病毒后,还出现这样的问题,一般都是IE组件在注册表中注册信息被破坏,可以按下面的方法去解决该问题:
1。 在"开始"菜单中打开"运行"窗口,在其中输入"regsvr32 actxprxy.dll",然后"确定",接着会出现一个信息对话 框"DllRegisterServer in actxprxy.dll succeeded",再次点击"确定"。
2 再次打开"运行"窗口,输入"regsvr32 shdocvw.dll
3 再次打开"运行"窗口,输入"regsvr32 oleaut32.dll
4 再次打开"运行"窗口,输入"regsvr32 actxprxy.dll
5 再次打开"运行"窗口,输入"regsvr32 mshtml.dll
6 再次打开"运行"窗口,输入"regsvr32 msjava.dll
7 再次打开"运行"窗口,输入"regsvr32 browseui.dll
8 再次打开"运行"窗口,输入"regsvr32 urlmon.dll
如果排除病毒问题后,做完上面的几个IE组件注册一般问题即可得到解决。
3.如果电脑有打印机,还可能是因为打印机驱动安装错误,也会造成这个错误。解决方法如下:
重装打印机驱动程序。
一般情况下做到上面三步后,该问题即可得到全面解决
下个补丁安上就行了 给你地址:
http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx
你这是中了魔波 据某外国网站介绍今天截获了一个利用 MS06-040 漏洞的蠕虫病毒并且主要攻击 win200系统
该病毒 在系统文件夹下释放 wgareg.exe 和wgavm.exe文件
该蠕虫会在系统中建立如下服务
服务名称 wgareg
服务描述 Windows Genuine Advantage Registration Service (windows正版 验证 服务)
描述 Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
服务名称 wgavm
服务描述 Windows Genuine Advantage Validation Monitor
具体描述 Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability..
可以看出来 是伪装 windows正版 验证的蠕虫
并且病毒会自动使用TCP 18067端口 连接bbjj.househot.com ypgw.wallloan.com
由于此病毒来势汹汹所以发布病毒预警!
解决办法 赶快打上 MS06-040 补丁!地址是http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx
wyc841314.51.com是我的博客
出现上面这个错误一般有三种情况。
1.就是病毒。开机后会提示Generic Host Process for Win32 Services 遇到问题需要
关闭”“Remote Rrocedure Call (RPC)服务意外终止,然后就自动重起电脑。一般该病毒会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立msblast.exe键值,还会在c:\windows\system32目录下会放置一个msblast.exe的木马程,解决方案如下:
RPC漏洞
详细描述:
最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个安全漏洞。该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限,他将可以在系统上运行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理员权限的帐户等.
已发现的一个攻击现象:
攻击者在用户注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立一个叫“msupdate”(估计有变化)的键,键值一般为msblast.exeC:\windows\system32目录下会放置一个msblast.exe的木马程序.
另外受攻击者会出现“Generic Host Process for Win32 Services 遇到问题需要关闭”“Remote Rrocedure Call (RPC)服务意外终止,Windows必须立即重新启动”等错误信息而重启。
建议到http://www.microsoft.com/security/security_bulletins/ms03-026.asp下载相应补丁。如果已受攻击,建议先拔掉网线,在任务管理器中结束msblast.exe进程,清除注册表中的相应条目,删除system32下的木马程序,最后打补丁。
第二种情况是排除病毒后,还出现这样的问题,一般都是IE组件在注册表中注册信息被破坏,可以按下面的方法去解决该问题:
1。 在"开始"菜单中打开"运行"窗口,在其中输入"regsvr32 actxprxy.dll",然后"确定",接着会出现一个信息对话 框"DllRegisterServer in actxprxy.dll succeeded",再次点击"确定"。
2 再次打开"运行"窗口,输入"regsvr32 shdocvw.dll
3 再次打开"运行"窗口,输入"regsvr32 oleaut32.dll
4 再次打开"运行"窗口,输入"regsvr32 actxprxy.dll
5 再次打开"运行"窗口,输入"regsvr32 mshtml.dll
6 再次打开"运行"窗口,输入"regsvr32 msjava.dll
7 再次打开"运行"窗口,输入"regsvr32 browseui.dll
8 再次打开"运行"窗口,输入"regsvr32 urlmon.dll
如果排除病毒问题后,做完上面的几个IE组件注册一般问题即可得到解决。
3.如果电脑有打印机,还可能是因为打印机驱动安装错误,也会造成这个错误。解决方法如下:
重装打印机驱动程序。
一般情况下做到上面三步后,该问题即可得到全面解决
相关文章推荐
- 运行txt文本也可能中毒!微软急修“文本病毒”漏洞
- 阿里巴巴速卖通曝安全漏洞,可能泄露百万用户个人信息
- 关于由病毒引起的桌面图标丢失问题.
- 由Android系统两个漏洞引起的思考
- Android studio————Gradle可能引起的文件
- 微软修复“Duqu病毒”漏洞,赛门SEP可查杀
- IOS7开始,某些原因可能引起短信界面调用打不开
- 荷兰网站遭漏洞攻击,专挑午餐时间启动病毒
- 【并发】ThreadLocal可能引起的内存泄露
- 由“警告:检测到时钟错误。您的创建可能是不完整的。”引起的!
- 注意flash4的函数可能引起的bug
- mysql 1037 hy001错误可能引起的原因
- MSN Messenger 中的漏洞可能导致信息泄露 (838512)
- 引起电脑自动重启的可能原因
- 注意防范ASP.NET中可能导致信息泄漏的漏洞
- UI混乱,很可能是变量名,被引入,且重复引起
- 枚举和前置声明以及可能引起的问题
- ASP中可能出现的一种包含漏洞(Server.execute)
- 闭包的作用与可能引起的内存泄漏
- Z-BLOG的FCKEditor可能有漏洞