关于最新的那个"魔鬼波"的补丁问题(在线等)

本人对于魔鬼波病毒的一些看法

我发现这个魔鬼波病毒，只是对那些拔号上网的用户进行攻击，可能是一打开拔号连接，那TCP端口445就被打开的原因吧，我只是猜测

如果用路由器上网的好像没这个现像

如果路由器那两个端口是开的，也会中奖。一般通常都是关闭的吧

“魔鬼波”补丁程序下载地址！！！

2006年8月13日，江民公司反病毒中心发布紧急病毒警报，一利用微软5天前刚刚发布的MS06-040漏洞传播的“魔鬼波”（Backdoor/Mocbot.b）蠕虫现身互联网，感染该蠕虫的计算机将被黑客远程完全控制。

微软在8月8日例行发布的MS06-040安全公告中称，其操作系统Server服务漏洞可能允许远程执行代码，并建议电脑用户立即升级。

据江民反病毒专家分析，“魔鬼波”蠕虫运行后，在系统目录下建立大小为9609字节的病毒文件wgareg.exe，该病毒文件经过加壳处理。病毒建立下面服务，以使自己可以在系统启动时自动运行。

服务名：Windows Genuine Advantage Registration Service

服务程序：wgareg.exe

描述：Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.

“魔鬼波”通过TCP端口445利用MS06-040漏洞进行传播。蠕虫的传播过程可以在用户不知情的情况下主动进行，可能造成services.exe崩溃等现象。蠕虫还可通过AOL即时通讯工具自动发送包含恶意链接的消息。

运行成功后，病毒会连接IRC服务器接收黑客命令，黑客的IRC服务器域名为：

bniu.househot.com

ypgw.wallloan.com

经江民反病毒专家查询，以上2个服务器的IP分别位于贵州六盘水市电信和上海大学新校区。

通过黑客命令，“魔鬼波”蠕虫可以进行下载运行任意程序，进行拒绝服务攻击(DDoS)等活动，使得用户计算机完全被黑客控制。

江民反病毒专家提醒，针对该蠕虫，江民杀毒软件已经紧急升级了病毒库，KV系列杀毒软件用户升级到8月14日病毒库，即可全面查杀该蠕虫。专家担心，由于微软安全公告发布还不到一周，可能还有许多用户没有安装微软MS06-040漏洞补丁，专家呼吁电脑用户务必尽快安装漏洞补丁，避免遭受病病毒侵害。

微软MS06-040Server服务漏洞可能允许远程执行代码补丁下载地址：

/china/technet/security/bulletin/MS06-040.mspx