'Devil Wave' 최신 패치 이슈에 대해(온라인 대기 중)

Devil Wave 바이러스에 대한 내 견해 중 일부

Devil Wave 바이러스는 인터넷에 액세스하기 위해 전화 접속하는 사용자만 공격한다는 사실을 발견했습니다. 전화 접속 연결이 열리면 TCP 445번 포트가 열려 있는 이유는 추측일 뿐입니다.

라우터를 사용하여 인터넷에 접속하는 경우에는 이러한 현상이 발생하지 않는 것 같습니다

라우터의 두 포트가 열려 있으면 승리하게 됩니다. 평소에는 닫혀있습니다

'Devil Wave' 패치 다운로드 주소! ! !

2006년 8월 13일 Jiangmin Company의 안티 바이러스 센터는 긴급 바이러스 경보를 발령했습니다. Microsoft가 발표한 MS06-040 취약점을 악용하여 확산되는 "악마의 물결"(Backdoor/Mocbot.b) 불과 5일 전만 해도 인터넷에 웜이 등장했고, 웜에 감염된 컴퓨터는 해커들에 의해 원격으로 완전히 통제될 예정이다.

Microsoft는 8월 8일 정기적으로 발표된 MS06-040 보안 공지에서 자사 운영 체제 서버 서비스의 취약점으로 인해 원격 코드 실행이 허용될 수 있다고 밝히고 컴퓨터 사용자에게 즉시 업그레이드할 것을 권고했습니다.

장민 백신 전문가들의 분석에 따르면, 'Devil Wave' 웜이 실행된 후 시스템 디렉토리에 9609바이트 크기의 바이러스 파일 wgareg.exe가 생성되는 것으로 나타났다. 포장되었습니다. 바이러스는 시스템이 시작될 때 자동으로 실행될 수 있도록 다음 서비스를 설정합니다.

서비스 이름: Windows Genuine Advantage 등록 서비스

서비스 프로그램: wgareg.exe

설명: Microsoft Windows가 정품이고 등록되었는지 확인합니다. 그렇지 않으면 이 서비스를 비활성화하면 시스템이 불안정해질 수 있습니다.

"Devil Wave"는 MS06-040 취약점을 악용하여 TCP 포트 445를 통해 확산됩니다. 웜의 전파 과정은 사용자가 모르는 사이에 활발하게 수행될 수 있으며, 이로 인해 services.exe가 충돌하는 등의 현상이 발생할 수 있습니다. 또한 웜은 AOL 인스턴트 메시징 도구를 통해 악성 링크가 포함된 메시지를 자동으로 보낼 수도 있습니다.

성공적인 작업 후 바이러스는 IRC 서버에 연결하여 해커 명령을 수신합니다. 해커의 IRC 서버 도메인 이름은

bniu.househot.com

ypgw.wallloan.com

Jiangmin 바이러스 백신 전문가의 문의 결과 위 두 서버의 IP 주소는 각각 Guizhou Liupanshui Telecom과 Shanghai University New Campus에 있습니다.

'Devil Wave' 웜은 해커 명령을 통해 임의의 프로그램을 다운로드 및 실행하고 서비스 거부 공격(DDoS) 등의 활동을 수행하여 사용자 컴퓨터를 해커에 의해 완전히 제어될 수 있습니다.

Jiangmin 안티 바이러스 전문가들은 Jiangmin 안티 바이러스 소프트웨어가 이 웜에 대한 바이러스 데이터베이스를 긴급하게 업그레이드했음을 상기시킵니다. KV 시리즈 안티 바이러스 소프트웨어 사용자는 8월 14일에 바이러스 데이터베이스를 업그레이드하여 완전히 탐지하고 사용할 수 있습니다. 벌레를 죽여라. 전문가들은 마이크로소프트의 보안 공지가 공개된 지 일주일도 되지 않아 아직 마이크로소프트 MS06-040 취약점 패치를 설치하지 않은 사용자가 많을 것을 우려하고 있다. 전문가들은 컴퓨터 사용자들에게 가능한 한 빨리 취약점 패치를 설치할 것을 당부하고 있다. 바이러스에 감염되지 않도록 하세요.

Microsoft MS06-040Server 서비스 취약점으로 인해 원격 코드 실행이 허용될 수 있습니다. 패치 다운로드 주소:

/china/technet/security/bulletin/MS06-040.mspx