Author: killer (killer<2>xfocus.org)
Date:2006-8-13

一、病毒描述：

近日，一种新的BOT蠕虫现身网络，该蠕虫利用最新的MS06040漏洞传播，目前已经有多个变种。从分析上看，基本目的为发动拒绝服务攻击，蠕虫主要内置了syn/udp/scan等命令。

二、病毒基本情况：

[File Info]
File: C:\WIN2K\system32\wgareg.exe
Size|Attrib: 0x2589 (9609), (disk) 0x2589 (9609) | (attrib) archive
Packer:MEW

三、病毒行为：

1、病毒体执行后，将自身拷贝到系统目录：

%System%\wgareg.exe

创建文件：%windir%\Debug\dcpromo.log


2、添加系统服务确保自身在系统重启动后被加载：

服务名：wgareg
显示名称：Windows Genuine Advantage Registration Service
服务描述：Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
对应文件：%System%\wgareg.exe


3、连接IRC地址，接受远程命令控制：

域名：ypgw.wallloan.com
bniu.househot.com


IRC IP：58.81.137.157 端口：18067
IRC IP：61.163.231.115 端口：18067
IRC IP：202.121.199.200 端口：18067
IRC IP：61.189.243.240 端口：18067

...

4、修改多处注册表键，用以关闭杀毒软件、防火墙降低系统安全性。

5、该蠕虫和还会下载其它木马，目前截获下载的木马为：Trojan-Proxy.Win32.Ranky.fv

四、临时解决方案：