魔鬼波

时间：2024-07-16 18:00:11编辑：优化君

什么叫魔鬼波？

2006年8月13日，江民公司反病毒中心监测到了一个利用微软MS06-040漏洞传播的“魔鬼波”蠕虫Backdoor/Mocbot.b。

江民反病毒专家介绍，“魔鬼波”通过TCP端口445利用MS06-040漏洞进行传播。蠕虫的传播过程可以在用户不知情的情况下主动进行，可能造成services.exe崩溃等现象。蠕虫还可通过AOL即时通讯工具自动发送包含恶意链接的消息。蠕虫运行成功后会连接IRC服务器接收黑客命令，通过黑客命令，蠕虫可以进行下载运行任意程序，进行拒绝服务攻击(DDoS)等活动，使得用户计算机完全被黑客控制。

由于蠕虫出现距离微软发布补丁不到一周时间，江民反病毒专家担心很有可能会引发一场较大规模的计算机病毒疫情，专家呼吁，目前电脑用户应立即更新微软操作系统漏洞补丁，并升级杀毒软件病毒库，严防黑客通过“魔鬼波”远程控制电脑，窃取企业或政府事业单位机密信息，以及个人的敏感信息。专家介绍说，在安装微软的漏洞补丁前，用户可以先将TCP445端口暂时关闭，可以暂时防止病毒通过该端口入侵，并应及时关注反病毒厂商的及时安全警报，以防更多的病毒变种出现。

针对该病毒，江民反病毒中心已研制推出专杀工具，已经感染“魔鬼波”蠕虫的电脑用户可以免费下载使用。下载地址：http://www.jiangmin.com/download/mocbotkiller.exe

中了魔鬼波病毒

掉线的原因有很多
不仅仅是魔鬼波

使用ADSL上网会经常遇到网页打不开、下载中断、或者在线视、音频流中断、qq掉线、游戏掉线等现象。我们不妨假定楼主是使用ADSL上网。其实其他方式上网经常掉线的原因和下列原因大致相同。下面我们来分析一下ADSL掉线的原因。
一，线路问题
首先检查一下家里线路，看屋内接头是否接好，线路是否经过了什么干扰源，比如空调、冰箱、电视等，尽量与这些用电设备保持一定的距离。也可以自行把室内的线路使用抗干扰能力更强的网线代替。确保线路连接正确。电话线入户后连接接线盒，然后再到话音分离器分离，一线走电话、一线走MODEM(分离器上有标注)。同时确保线路通讯质量良好没有被干扰，没有连接其它会造成线路干扰的设备。并检查接线盒和水晶头有没有接触不良以及是否与其它电线串绕在一起。有条件最好用标准电话线，PC接ADSL Modem附带的双绞线。线路是影像上网的质量的重要因素之一。距离用户电缆线100米以内的无线电发射塔、电焊机、电车或高压电力变压器等信号干扰源，都能使用户下线接收杂波（铜包钢线屏蔽弱，接收信号能力强），对用户线引起强干扰。受干扰的信号往往是无屏蔽的下线部分进入，因为中继电缆有屏蔽层，干扰和影响都很小。如果在干扰大的地方用一些带屏蔽的下线，就会减少因干扰造成的速度不稳定或掉线现象。另外，电源线不可与adsl线路并行，以防发生串扰，导致adsl故障。另外其他也有很多因素造成网络不稳定，例如信号干扰、软件冲突。手机这一类辐射大的东西一定不要放在ADSL Modem的旁边，因为每隔几分钟手机会自动查找网络，这时强大的电磁波干扰足以造成ADSL Modem断流。
二，网卡问题
网卡一般都是PCI网卡或者板载网卡，选择得时候定要选择质量较好的，不然可能造成上网质量欠佳。10M或10M/100M自适应网卡都可。另外，许多机器共享上网，使用双网卡，这也是引起冲突同样值得关注，这时，应当拔起连接局域网或其它电脑的网卡，只用连接ADSL的网卡上网测试，如果故障恢复正常，再检查两块网卡有没有冲突。
三，ADSL MODEM或者网卡设置问题
现在MODEM一般具有2种工作模式，一种是使用拨号软件的正常模式，一种是自动拨号的路由模式。在正常模式工作下，不需要对MODEM进行设置，使用默认即可。而路由模式则需要进行设置，MODEM带有自己的闪存，可以将帐户、密码盒设置存入，进行开机自动拨号。此方法最常见的是设置错了 ADSL Modem的IP地址，或是错误设置了DNS服务器。因为对于ADSL虚拟拨号的用户来说，是不需要设定IP地址的，自动分配即可。TCP/IP网关一般也不需要设置。但是设定DNS一定要设置正确，DNS地址可以从当地电信部门获得。另外，TCP/IP设置最容易引起不能浏览网页的情况，一般设置为自动获得IP地址，但是DNS一定要填写。其他采用默认即可
四，ADSL Modem同步异常问题
检查一下自己的电话线和ADSL连接的地方是否接触不良，或者是电话线出现了问题，质量不好的电话特别容易造成掉线，但是这样的问题又不好检查，所以务必使用质量较好的电话线。如果怀疑分离器坏或ADSL Modem坏，尝试不使用分离器而直接将外线接入ADSL Modem。分离器与ADSL Modem的连线不应该过长，否则不能同步。排除上述情况，只要重起ADSL Modem就可以解决同步问题。
五，操作系统，病毒问题
除了上面提到的线路状况外，还有电脑系统方面的问题。比如传奇杀手引起局域网掉线。该问题在全国均大面积发生，该病毒对主机代理和路由器代理的网吧（局域网）均会造成影响。传奇杀手是一款对局域网进行ARP欺骗,虚拟网关地址,以收集局域网中传奇游戏登陆信息并进行分析从而得到用户信息的破坏性软件.工作流程:首先,将本机 MAC通过arp欺骗广播至局域网,使局域网中的工作站误认为本机是网关.该流程会造成局域网与internet连接中断,使游戏与服务器断开链接.待用户重新启动游戏并进行帐号登陆时,帐户信息并不会直接通过网关上传到代理服务器,而是上传到正在进行arp欺骗的传奇杀手软件中.通过传奇杀手自身的解密手段,会获得该帐户的真实用户名及密码.从而达到窃取玩家帐号的目的.发作状况:局域网与internet链接速度突然变慢甚至断开.网络游戏断开链接, 且重新登陆后提示服务器无相应。建议首先查杀病毒；如果有能力的话，重新安装系统；如机器使用有双网卡，卸载一块网卡；建议对于电脑不是很熟悉的用户不要随意安装各种防火墙软件，设置不正确会造成上网不稳定。有的操作系统可能对ADSL的相关组件存在兼容性问题，这样可以到微软对系统进行升级，或者修复系统。有条件可以进行重装。如果软件有冲突就尽量找出冲突软件，对其卸载或者其他方法解决。

六，防火墙，IE浏览器设置不对
ADSL 虽然受到黑客和病毒的攻击可能性较小，但也不排除可能性，特别是网页病毒和蠕虫病毒。病毒如果破坏了ADSL相关组件也会有发生断流现象。如果能确定受到病毒的破坏和攻击，还发生断流现象时就应该检查安装的防火墙、共享上网的代理服务器软件、上网加速软件等，停止运行这类软件后，再上网测试，看速度是否恢复正常。如果上网不稳定，可以尝试先关闭防火墙，测试稳定与否，在进行相应的设置。另外防火墙引起或IE浏览器出现故障，也可导致可以正常连接，但不能打开网页。
七，静电问题
静电是影响ADSL的重要因素，而家中的电源一般都不接地线，再加上各种电器（如冰箱、电视）的干扰，很容易引起静电干扰，致使ADSL在使用中频繁掉线，请将三芯插座的接地端引出导线并良好接地，一般可以解决掉线问题。一般解决方法：增加接地线，解决掉线问题。
八，软件冲突问题
ADSL接入Internet的方式有虚拟拨号和专线接入两种，现在个人用户的ADSL大都是虚拟拨号。而PPPOE(Point-to- Point Protocol over Ethernet以太网上的点对点协议)虚拟拨号软件都有各自的优缺点。经过多方在不同操作系统的测试，如果使用的操作系统是Windows XP，推荐用它自带PPPOE拨号软件，断流现象较少，稳定性也相对提高。如果使用的是Windows ME或9x，可以用以下几种虚拟拨号软件--EnterNet、WinPoET、RasPPPoE。其中，EnterNet是现在比较常用的一款， EnterNet 300适用于Windows 9x；EnterNet 500适用于Windows 2000/XP。当你用一个PPPOE拨号软件有问题时，不妨卸载这个软件后换用一个其它的PPPOE拨号软件，请务必注意不要同时装多个PPPOE软件，以免造成冲突。因为电话线上网是宽带接入的主要方式，而这样就必须设置一条虚拟通道，如果几种拨号软件混装就会引起冲突，造成网络及其不稳定。如果软件有冲突就尽量找出冲突软件，对其卸载或者其他方法解决。比如有的朋友BT下载会导致网络掉线。可能下载的时候占用过多的线程导致断线。
另外，,QQ以及游戏掉线的原因除了上述你自己电脑的原因外，还可能与它们自身的服务器限制以及服务器被攻击或出现故障有关系。

我中了魔鬼波病毒怎么办？【有分】

魔鬼波
距魔鬼波蠕虫被截获仅仅几个小时，其变种病毒魔鬼波变种B（Worm.IRC.WargBot.b）再次疯狂攻击互联网。金山毒霸反病毒监测中心已经发布四级病毒预警，截止到目前为止，全国已经有3128例感染求助。

魔鬼波变种B主要是以改头换面的方式出现，对自身进行了加密并修改添加项名称等，以躲避反病毒软件的查杀。该变种病毒同样主要利用MS06-040漏洞进行主动传播,可注入explorer.exe进程，疯狂攻击互联网，可造成系统崩溃，网络瘫痪，并通过IRC聊天频道接受黑客的控制。病毒可以通过修改注册表信息降低系统安全等级，连接黑客指定的IRC频道（ypgw.wallloan.com、bniu.househot.com），控制用户电脑，使之沦为“肉鸡” 。

作为06年以来第一高危病毒，魔鬼波变种产生的速度非常快，据金山毒霸反病毒专家称，魔鬼波之所以在短时间内即出现变种，可以说是在时间上与杀毒软件厂商拼抢，下图是金山毒霸反病毒监测中心监测到的该病毒感染数量的增长趋势：

如何判别感染“魔鬼波”
1.运行后生成m%\wgareg.exe文件,添加系统服务为wgareg，并通过修改注册表信息降低系统安全等级；
2.连接黑客指定的IRC频道，控制用户电脑；
3.系统服务崩溃，无法上网；

遇到"魔波" 病毒攻击，用户无需恐慌。您只需按照下面三个方法，即可快速清除该病毒。

第一招：使用个人防火墙拦截病毒攻击

打开天网防火墙，新建两条规则限制139和445端口，大家可以下载现成魔鬼波防御规则，然后进入自定义规则栏，导入规则然后保存；当然，也可以自己编写，便写好规则后保存即可。编写步骤如下：

封堵139端口

封堵445端口

第二招：打补丁

您可以登录微软的网站http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx下载并安装对应操作系统的补丁程序。建议大家访问http://update.microsoft.com/安装所有的关键更新以防止利用其它漏洞进行传播和破坏的病毒。

第三招：清除病毒

由于该病毒的变种数量较多，每一个变种生成的文件位置都不一样，因此手工清除这个病毒并不是很方便，建议大家升级杀毒软件到最新版本来对此病毒进行查杀。

★ 下载“魔鬼波”专杀工具
适用平台： Win9x/NT/2000/XP/2003
更新版本： 2006.8.14.13
工具大小： 144 KB
下载地址： http://db.kingsoft.com/download/3/247.shtml
工具说明：支持魔鬼波（Worm.IRC.WargBot.a,Worm.IRC.WargBot.b）两个变种的查杀。

清除"魔鬼波"病毒的最新解决方法
1、启动个人防火墙主程序（以瑞星个人防火墙为例，其它类型的安全防火墙设置方法基本一样），点击“设置”菜单，选择“IP规则”。
2、在弹出的“设置瑞星个人防火墙IP规则”窗口中点击“增加规则”按钮。

3、规则名称填入“MS06-040”，执行动作为“禁止”，然后点击“下一步”。对方地址设置为“任意地址”，本地地址设置为“所有地址”，协议类型选择“TCP”，对方端口选择“任意端口”，本地端口选择“端口列表”并在其下面输入“139,445”，报警方式选择“托盘动画”和“日志记录”两项选中，点击保存。

魔鬼波病毒的概述

魔鬼波病毒危害：都通过IRC聊天频道使系统接受黑客的控制，沦为“肉鸡”，可能导致RPC服务崩溃，用户无法上网。魔鬼波病毒病毒特征：（Worm.IRC.WargBot.a）病毒利用微软06-040漏洞进行传播；(Worm.IRC.WargBot.b）是一个利用微软S06-040漏洞进行传播的蠕虫病毒。魔鬼波病毒发作症状：魔鬼波病毒都在受感染系统中生成以下病毒文件：%system%wgareg.exe；并添加服务，通过服务启动HKEY_LOCAL_MACHINE SYSTEM Current Control SetService swgaregImagePath=%system%wgareg.exe。同时，通过修改下列注册表信息降低系统安全等级，使用命令进行远程控制，并连接下列IRC服务器接受黑客控制；并利用Windows系统服务远程缓冲区漏洞(MS06-040)进行主动攻击，可能导致网络瘫痪、系统崩溃。（病毒还可注入explorer.exe进程。上网一段时间后后提示错误，并且无法上网，需要重新启动。杀毒软件都可以查杀此毒，请大家放心

魔波病毒是什么

　　“魔波”病毒会自动在网络上搜索具有系统漏洞的电脑，并直接引导这些电脑下载病毒文件并执行。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。感染该病毒的计算机会自动连接特定IRC服务器的特定频道，接受黑客远程控制命令。用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取。由于病毒连接的IRC服务器在中国境内，因此该病毒很有可能为国人编写。
　　针对此恶性病毒，瑞星已经升级。瑞星杀毒软件2006版18.40.01版及更高版本可彻底查杀此病毒，请广大用户及时升级杀毒软件。同时，瑞星建议用户开启瑞星个人防火墙2006版，并关闭139及445端口。同时，登陆微软网站下载并安装MS-06-040补丁程序以防范此病毒攻击。
　　名称
　　“魔波(Worm.Mocbot.a)”和“魔波变种B(Worm.Mocbot.b)
　　病毒定义
　　系统高危漏洞进行传播的恶性病毒
　　传播途径以及预防措施
　　传播途径
　　该病毒会利用微软MS06-040高危漏洞进行传播。当用户的计算机遭受到该病毒攻击时，会出现系统服务崩溃，无法上网等症状。WindowsXP用户反映上网十分钟左右会自动断线，必需重启电脑。由于该病毒出现离微软发布补丁程序只有短短几天时间，有很多用户还没有来得及对系统进行更新。
　　清除方法
　　遇到“魔波”病毒攻击，用户无需恐慌。您只需按照下面三个步骤，即可快速清除该病毒。
　　第一步：使用个人防火墙拦截病毒攻击
.用户开启个人防火墙，并关闭139及445端口。
　　1、
启动瑞星个人防火墙主程序，点击“设置”菜单，选择“IP规则”。
　　2、
在弹出的“设置瑞星个人防火墙IP规则”窗口中点击“增加规则”按钮。
　　3、
规则名称填入“MS06-040”，执行动作为“禁止”，然后点击“下一步”。对方地址设置为“任意地址”，本地地址设置为“所有地址”，协议类型选择“TCP”，对方端口选择“任意端口”，本地端口选择“端口列表”并在其下面输入“139,445”，报警方式选择“托盘动画”和“日志记录”两项选中，点击保存。
　　第二步
打补丁
　　您可以登录微软的网站登陆微软网站下载并安装对应操作系统的MS-06-040补丁程序以防范此病毒攻击。(附件是已经下载好的补丁,大家按照你的系统解压安装.)
　　建议大家访问微软中国网站
安装所有的关键更新以防止利用其它漏洞进行传播和破坏的病毒。
　　第三招
清除病毒
　　由于该病毒的变种数量较多，每一个变种生成的文件位置都不一样，因此手工清除这个病毒并不是很方便，建议大家升级杀毒软件到最新版本来对此病毒进行查杀。

魔鬼波的介绍

病毒名称：“魔鬼波”（Worm.IRC.WargBot.a），又称魔鬼冲击波病毒，它是IRCBot黑客后门病毒的新变种；“魔鬼波”（Worm.IRC.WargBot.b），该变种在变种a的基础上进行了加密处理距魔鬼波蠕虫被截获仅仅几个小时，其变种病毒魔鬼波变种B（Worm.IRC.WargBot.b）再次疯狂攻击互联网。金山毒霸反病毒监测中心已经发布四级病毒预警，截止到目前为止，全国已经有3128例感染求助。魔鬼波变种B主要是以改头换面的方式出现，对自身进行了加密并修改添加项名称等，以躲避反病毒软件的查杀。该变种病毒同样主要利用MS06-040漏洞进行主动传播,可注入explorer.exe进程，疯狂攻击互联网，可造成系统崩溃，网络瘫痪，并通过IRC聊天频道接受黑客的控制。病毒可以通过修改注册表信息降低系统安全等级，连接黑客指定的IRC频道（ypgw.wallloan.com、bniu.househot.com），控制用户电脑，使之沦为“肉鸡” 。作为06年以来第一高危病毒，魔鬼波变种产生的速度非常快，据金山毒霸反病毒专家称，魔鬼波之所以在短时间内即出现变种，可以说是在时间上与杀毒软件厂商拼抢，下图是金山毒霸反病毒监测中心监测到的该病毒感染数量的增长趋势：

魔鬼波的如何判别

1.运行后生成m%\wgareg.exe文件,添加系统服务为wgareg，并通过修改注册表信息降低系统安全等级；2.连接黑客指定的IRC频道，控制用户电脑；3.系统服务崩溃，无法上网；遇到魔波病毒攻击，用户无需恐慌。您只需按照下面三个方法，即可快速清除该病毒。使用个人防火墙拦截病毒攻击打开天网防火墙，新建两条规则限制139和445端口，大家可以下载现成魔鬼波防御规则，然后进入自定义规则栏，导入规则然后保存；当然，也可以自己编写，便写好规则后保存即可。编写步骤如下：封堵139端口封堵445端口打补丁您可以登录微软的网站http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx下载并安装对应操作系统的补丁程序。建议大家访问http://update.microsoft.com/安装所有的关键更新以防止利用其它漏洞进行传播和破坏的病毒。清除病毒由于该病毒的变种数量较多，每一个变种生成的文件位置都不一样，因此手工清除这个病毒并不是很方便，建议大家升级杀毒软件到最新版本来对此病毒进行查杀。★ 下载“魔鬼波”专杀工具适用平台： Win9x/NT/2000/XP/2003更新版本： 2006.8.14.13工具大小： 144 KB下载地址： http://db.kingsoft.com/download/3/247.shtml工具说明：支持魔鬼波（Worm.IRC.WargBot.a,Worm.IRC.WargBot.b）两个变种的查杀。

请问最近那个叫魔鬼波的病毒是怎么回事啊?

从8月13下午开始，一个新病毒开始在国内肆虐，该病毒会造成ADSL用户异常断网，该病毒主要通过微软操作系统的MSMS06-040漏洞传播，从8月13日中午开始发现很多人出现了svchost.exe出现错误的情况，并且ADSL PPPOE连接失效，感染该蠕虫的计算机将被诳驮冻掏耆�刂啤N⑷碓?月8日例行发布的MS06-040安全公告中称，其操作系统Server服务漏洞可能允许远程执行代码，并建议电脑用户立即升级。
“魔鬼波”蠕虫运行后，在系统目录下建立大小为9609字节的病毒文件wgareg.exe，该病毒文件经过加壳处理。病毒建立服务，以使自己可以在系统启动时自动运行。
“魔鬼波”通过TCP端口445利用MS06-040漏洞进行传播。蠕虫的传播过程可以在用户不知情的情况下主动进行，可能造成services.exe崩溃等现象,还可以使得无故断网.攻击用户计算机，导致用户在宽带拨号上网后不久，发生Generic Host Process for Win32 Service错误，
通过黑客命令，“魔鬼波”蠕虫可以进行下载运行任意程序，进行拒绝服务攻击(DDoS)等活动，使得用户计算机完全被黑客控制。

症状为任务栏中连接显示状态不正常，无法正常断开连接，无数据流量。

任务栏声音按钮消失。

同时声卡失效。

据某外国网站介绍，

截获了一个利用 MS06-040 漏洞的蠕虫病毒，

病毒名称 IRC-Mocbot并且主要攻击win200系统，且对xp一样有效。

该病毒，

在系统文件夹下释放 wgareg.exe 和wgavm.exe文件，

该蠕虫会在系统中建立如下服务：

服务名称 wgareg

服务描述 Windows Genuine Advantage Registration Service （windows正版验证服务）

描述

Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.

谁来救救我的电脑上网老掉线但魔鬼波专杀又检查不出有病毒

电脑为什么中毒

电脑中毒的可能有很多种；
比如：上网浏览网页，下载软件文件，接受别人发来的东西，连接U盘手机，放光盘，漏洞没有修复，导致病毒入侵。。
很多可能。。反正病毒无处不在，想要电脑不中毒，除非你的电脑什么也不干。。
那么你就要定期杀毒，360就可以，新版的体积很小。360杀毒不但查杀能力出色，而且对于新产生病毒木马能够第一时间进行防御。360杀毒完全免费，无需激活码，轻巧快速不卡机，误杀率远远低于其它杀软，能为360杀毒您的电脑提供全面保护。一定要常杀毒，保证电脑中没有病毒进入；
还有记得要修复好漏洞，病毒就无法钻漏洞进入电脑的了。

电脑好像中毒了。

本人最新研究删除桌面图标病毒最佳方法，99.9%好用
那是病毒，请仔细看完：
首先没有桌面清理的要如下操作：开始--运行--gpedit.msc--确定--组策略--用户配置--管理模板--桌面--双击右窗口【删除桌面清理向导】--未配置（或已禁用）--确定
完事后如果操作：
1、建议用360安全卫士进行电脑体检及进行木马云查杀，这样可以防止木马还在，删除了重启又来了。

2、首先在桌面上右击，依次点击排列图标，运行桌面清理向导，下一步，勾选“高清电影、假Internet Explorer图标、淘宝网”这三个需要删除的图标，点下一步，完成。（注：这样可以查看这三个文件的真实文件名）
然后在桌面上会出现一个“未使用的桌面快捷方式”文件夹，打开这个文件夹，里面就会出现“高清电影、假Internet Explorer图标、淘宝网”的真实文件名。
3、点开始/运行，输入regedit回车，进入注册表编辑器，依次展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace
在NameSpace分支下可以找到“未使用的桌面快捷方式”中三个文件的名称，我们要删除它们，但是在注册表中右击这些文件名时，无法直接删除，需要更改操作权限才行。操作如下：在注册表中，右击这些文件名，点权限，选择"组或用户名称"中的everyone 添加完全控制权限，点应用，确定，退出对话框，然后现在注册表中就可以删除这些文件名了，删除之后，在桌面上按F5刷新,高清电影、假Internet Explorer图标、淘宝网”这三个图标是否不见了？大功告成！

如果这样都不行，就是下载“金山急救箱”修复系统了

上一篇：longhubao