高校问答12平方米办公室:瑞星一直跳出对话框,说漏洞攻击?高手进去帮我呀
来源:百度文库 编辑:高校问答 时间:2024/04/30 00:19:17
Blaster Rpc Exploit 这两个
我该怎么办
是不是瑞星能防住啊
网络黑名单在哪里啊
瑞星既然发现,就说明已经被拦截。若真是受到攻击,只要攻击者有足够的时间就总能让防火墙失去作用的。
最好的办法还是打上补丁,并设法查查攻击者的资料及攻击动机,必要时将他的IP屏蔽掉。
首先:把你下的补丁安装
第二:由于瑞星漏洞监控作用于最外,也就是不管你的系统打不打补丁,进攻的数据包都要通过监控,监控发现就拦截了,则你可以按下步骤关闭改提示: 详细设置-计算机监控-瑞星漏洞攻击监控-高级-发现攻击不提示
第三:尽量关闭以下端口:135,137,138,139,445,1025,2475,3127,6129,3389,593.
大~~家注意!!!恶性病毒——“魔波(Worm.Mocbot.a)现在已经出现变种“魔波B(Worm.Mocbot.病毒 光打补丁还是不可以的 还要关闭139及445端口才能预防此病毒~~~~~~~~~
病毒名称:魔波(Worm.Mocbot.a)
魔波变种B(Worm.Mocbot.b)
文件类型:PE
驻留内存:是
文件大小:9,313 bytes MD5: 2bf2a4f0bdac42f4d6f8a062a7206797(Worm.Mocbot.a)
9,609 bytes MD5: 9928a1e6601cf00d0b7826d13fb556f0(Worm.Mocbot.b)
发现日期:2006-8-14
危害等级:★★★★
受影响系统:Windows2000/XP
该病毒利用MS06-040漏洞进行传播。传播过程中可导致系统服务崩溃,网络连接被断开等现象。
被感染的计算机会自动连接指定的IRC服务器,被黑客远程控制,同时还会自动从互联网上下载的一个名为“等级代理木马变种AWP(Trojan.Proxy.Ranky.awp)”的木马病毒。
分析报告:
一、 生成文件:
“魔波(Worm.Mocbot.a)”病毒运行后,将自身改名为“wgavm.exe”并复制到%SYSTEM%中。
“魔波变种B(Worm.Mocbot.b)”病毒运行后,将自身改名为“wgareg.exe”并复制到%SYSTEM%中。
二、 启动方式:
病毒会创建系统服务,实现随系统启动自动运行的目的。
“魔波(Worm.Mocbot.a)”:
服务名: wgavm
显示名: Windows Genuine Advantage Validation Monitor
描述: Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.
“魔波变种B(Worm.Mocbot.b)”
服务名: wgareg
显示名: Windows Genuine Advantage Registration Service
描述: Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
三、 修改注册表项目,禁用系统安全中心和防火墙等
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = "dword:00000001"
AntiVirusOverride = "dword:00000001"
FirewallDisableNotify = "dword:00000001"
FirewallDisableOverride = "dword:00000001"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM = "N"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = "dword:00000001"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "dword:00000004"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\parameters
AutoShareWks = "dword:00000000"
AutoShareServer = "dword:00000000"
四、 连接IRC服务器,接受黑客指令
自动连接ypgw.wallloan.com、bniu.househot.com服务器,接受指令。使中毒计算机可被黑客远程控制。
五、 试图通过AIM(Aol Instant Messegger)传播
会在AIM(Aol Instant Messegger)中发送消息,在消息中包含一个URL(下载地址),如果用户点击地址并下载该地址的程序,则好友列表里的人都将收到该条包含URL的消息。
六、 利用MS06-040漏洞传播
该病毒会利用Microsoft Windows Server服务远程缓冲区溢出漏洞(MS06-040 Microsoft Windows的Server服务在处理RPC通讯中的恶意消息时存在溢出漏洞,远程攻击者可以通过发送恶意的RPC报文来触发这个漏洞,导致执行任意代码)
七、 自动在后台下载其它病毒
会自动从互联网上下载名为“等级代理木马变种AWP(Trojan.Proxy.Ranky.awp)”,该病毒会在用户计算机TCP随机端口上开置后门`~~
冲击波攻击,打上冲击波补丁就不用害怕了,瑞星完全可以拦截,实在不行就把攻击你的ip放到网络黑名单里去!
你中了现在最流行的病毒了,叫做魔波!我和的情况一样.电信局的部题,重装电脑程序吧!记住格式化哦!
在管理工具的里的服务中修改,其实没有什么关系的。