《终截者入侵阻止》无需升级，未知蠕虫拦截再显威力！

文章来源：Terminator Lab 　　文章类型：本站原创　　　加入时间：2006-8-17

关键字: 魔波 , 蠕虫 , 变种 , MS06-040 , 安全分析专家 , 终截者 , 安全预警 , 安全回归

　　微软的漏洞公告“MS06-040:Server 服务中的漏洞可能允许远程执行代码”，在其公告不过3天时间，网络上已经出现了利用该漏洞攻击的蠕虫“魔波”。
　　8月14日上午，瑞星全球反病毒监测网在国内率先截获到两个利用系统高危漏洞进行传播的恶性病毒——“魔波（Worm.Mocbot.a）”和“魔波变种B(Worm.Mocbot.b)病毒。据瑞星客户服务中心统计，目前国内已有数千用户遭受到该病毒攻击。

感染“魔波”时的症状

　　当用户的计算机遭受到该病毒攻击时，会出现系统服务崩溃，无法上网等症状。根据分析，“魔波”病毒会自动在网络上搜索具有系统漏洞的电脑，并直接引导这些电脑下载病毒文件并执行。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。感染该病毒的计算机会自动连接特定IRC服务器的特定频道，接受黑客远程控制命令。用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取。由于病毒连接的IRC服务器在中国镜内，因此该病毒很有可能为国人编写。

《安全分析专家》无须升级，火眼识“魔波“

　　很快，就接到有用户反映其公司电脑有异常现象，描述与上基本相符，很显然，用户所在内网中已经感染了“魔波”蠕虫。迅速拿出《安全分析专家》，扫描后定位到蠕虫所在位置，如下图所示：

　　从图中可以看到，《安全分析专家》的“异常行为识别”无须升级特征库即可识别蠕虫（红色高危警报）。这对于分析木马病毒、蠕虫时犹为有效！

安全回归之下，“魔波”你就别想跑！

　　确定这部机存在蠕虫后，迅速切断这部机与其他内网的连接，防止重复感染内部网。之后，将已经安装好的《终截者入侵阻止》双击任务栏中的图标打开主程序界面，点击程序主界面中的 [img]http://www.s-sos.net/pic/20060817/icefire/sec.png[/img] 按钮。按照简单的提示，系统即可进行“安全回归”，操作步骤如下图所示：

电脑在“安全回归”后，准确无误地拦截了“魔波”的横行，如下图所示：

亲手除掉“魔波”，酷就一个字！

　　再次打开《终截者入侵阻止》程序的主界面，点击“安全回归”按钮，这时，在“安全回归”控制台中选择点击“打开编辑器”

　　在“安全回归”编辑器中，双击指定的“程序名称”或在“详细信息“栏中的任一位置，可以迅速定位到”魔波“蠕虫所在的文件夹位置。

这时，　“魔波“早已失去威力，指着它，就像操作普通的文件一样，选择删除或按下Delete键即可让他“灰飞烟灭”。

“魔波“来侵，安全隐身无懈可击

　　时下不比往日，“亡羊补牢”已经不再适合目前的网络安全环境！网银大盗的横行、阿啦ＱＱ大盗猖獗、蠕虫病毒的危害... ...这些的这些，难道非要等到“失去了才后悔”？
　　在这次与客户内部网的蠕虫紧急事件响应过程中，同样发生了类似的情况，感染内部网络的机器不止一部！在你清除完这里的时候，也许一回头，这部机器又被重复感染上蠕虫。在清除蠕虫的同时，防御同样重要！而在处理完这部机中的“魔波”后，没有出现再次被重复感染的事。因为，《终截者入侵阻止》中的安全防护等级已经处于“安全隐身”保护状态。

“安全隐身”在最大程度上已经封锁了该漏洞所能感染的环境、条件，也就无法感染这部电脑，彻底保护你的网络安全。

本文完！