找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
广告投放联系QQ68610888广告投放联系QQ68610888
查看: 1959|回复: 0

『高危漏洞』“魔波”Generic Host Process for Win32 Services(svchost.exe)

[复制链接]
发表于 2006-8-14 20:24 | 显示全部楼层 |阅读模式


有的人说是兔子的问题,但有的人没装兔子照样出问题
有的人说是讯雷的问题,但有的人没装讯雷照样出问题
有的人说是互联星空的问题,但有的人没装互联星空照样出问题
有的人说是杀毒软件的问题,但是各种各样的杀毒软件照样出问题
有的人说用qq相关软件出问题,但是有的人没用qq相关软件照样出问题
有的人说打补丁可以解决问题,但是有的人打了补丁照样出问题
现在知道,有的人几秒出问题,有的人几个小时出问题
现在知道,只要不关闭问题窗口,短时间内还是不影响上网的
现在知道,这个可能是新的系统漏洞,但是却是非木马非病毒的问题
现在知道,系统还原、注册表恢复、格式化、重装系统依然无法解决问题
现在知道,20060813的这一天问题突然爆发了,很多人因此重新启动无数次了
现在知道,今夜,电信、网通及各类网络连接系统都在紧张升级中,过了今天就好了(大概==)
是否只针对winxpsp2,未知
国产 WINDOWS XP SP2 VLK 完全可以100%升级所有M记补丁
(本人使用的是金山漏洞扫描2006,而后自动升级‘所有’补丁)
MS06-040安全更新.这次和以前冲击波振荡波狙击波都一样.源自漏洞攻击
Microsoft 安全公告 MS06-040
Server 服务中的漏洞可能允许远程执行代码 (921883)
发布日期: 八月 8, 2006
http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx
Windows XP 安全更新程序 (KB921883) 2006/8/7
现已确认服务器服务中有一个安全问题,攻击者可能会利用此问题危及 Windows 系统的安全并获取对该系统的控制权。
http://www.microsoft.com/downloads/thankyou.aspx?familyId=2996B9B6-03FF-4636-861A-46B3EAC7A305&displayLang=zh-cn&oRef=
Windows XP 安全更新程序 (KB920683) 2006/8/7
现已确认 DNS 解析中有一个安全问题,攻击者可能会利用此问题危及 Windows 系统的安全并获取对系统的控制权。
http://www.microsoft.com/downloads/thankyou.aspx?familyId=C332B95A-2956-406B-9E06-07C5E96B02E3&displayLang=zh-cn&oRef=
Windows XP 安全更新程序 (KB920670) 2006/8/7
现已确认有一个安全问题,攻击者可能会利用此问题危及 Windows 系统的安全并获取对该系统的控制权。
http://www.microsoft.com/downloads/thankyou.aspx?familyId=2D014BAC-F03D-474A-A7AB-49E8EAD8EDB0&displayLang=zh-cn&oRef=
Windows XP 安全更新程序 (KB917422) 2006/8/7
现已确认 Windows 内核中有一个安全问题,攻击者可能会利用此问题危及 Windows 系统的安全并获取对系统的控制权。
http://www.microsoft.com/downloads/thankyou.aspx?familyId=71E96AFC-BC4D-4666-998B-49857007E539&displayLang=zh-cn&oRef=
Windows XP 安全更新程序 (KB922616) 2006/8/7
现已确认有一个安全问题,攻击者可能会远程利用此问题,使用 HTML 帮助中的一个漏洞危及 Windows 系统的安全并获取对系统的控制权。
http://www.microsoft.com/downloads/thankyou.aspx?familyId=A6E2CB0A-146F-4300-95CB-7078CE9F9844&displayLang=zh-cn&oRef=
用于 Windows XP 的 Outlook Express 安全更新程序 (KB920214) 2006/8/7
现已确认存在一个安全问题,攻击者可能会利用此问题远程危及基于 Windows 的系统的安全。
http://www.microsoft.com/downloads/thankyou.aspx?familyId=C9037CDB-3A57-4DB7-AA0D-5AD28730303A&displayLang=zh-cn&oRef=
Windows XP 安全更新程序 (KB921398) 2006/8/7
现已确认有一个安全问题,攻击者可能会利用此问题危及 Windows 系统的安全并获取对该系统的控制权。
http://www.microsoft.com/downloads/thankyou.aspx?familyId=6ef68858-4c91-47fb-ae34-0be556f10ede&displayLang=zh-cn&oRef=
以上是7个M记补丁20060807
以下为个人空间的M记补丁20060807合集下载
Windows XP 安全更新程序 20060807.RAR
G盘:http://www.gbdisk.com/
提取码:8345271088199399
G宝盘:http://www.gbaopan.com/
需要成为注册用户才能下载文件
http://weiweins164.gbaopan.com/files/8ea10590db6c4bdcad2e896af1aa314f.gbp
163相册图片文件备份
Windows XP 安全更新程序 20060807.part1.rar
http://img584.photo.163.com/weiweins/25759550/1808349329.jpg
另存或快车下载以上图片链接->更改扩展名jpg为rar->解压即用
Windows XP 安全更新程序 20060807.part2.rar
http://img584.photo.163.com/weiweins/25759550/1808350541.jpg
另存或快车下载以上图片链接->更改扩展名jpg为rar->解压即用
http://forum.ikaka.com/list.asp?board=28
瑞星反病毒论坛 - 卡卡社区
http://forum.jiangmin.com/list.asp?boardid=2&page=1
江民反病毒社区
http://bbs.db.kingsoft.com/forumdisplay.php?sid=&fid=3162
金山社区

关于Generic Host Process for Win32 Services报错分析和解决办法
一、错误集中出现时间:
8月12日晚就陆续出现了该故障现象,8月13日中午大量用户报修。
二、错误针对系统环境:
WINDOWS XP SP2为主要对象,不排除SP1可能性。(待进一步统计分析)。
三、错误所造成的现象
1)出现错误报告提示窗口


2)连接失效
ADSL PPPOE连接失效,症状为任务栏中连接显示状态不正常,无法正常断开连接,无数据流量,无法上网做任何应用。
3)事件查看器中的错误信息
通过“控制面板”中的“管理工具”,选择“事件查看器”,可以发觉有错误事件信息。

进一步查看错误信息内容如下:

4)会出现声卡失效的现象。
任务栏声音按钮消失。同时声卡失效。
5)出现内存错误信息

6)错误频发时间间隔
PPPOE拨号后,一般在5分钟到10分钟不等,长的有半小时,短的几秒内。估计和系统配置情况以及遭到攻击的时间有关。
7)部分杀毒软件无效
部分杀毒软件防御无效,目前有反映称卡巴斯基能抵挡该攻击。
四、解决方式
可以通过两个MICROSOFT的官方补丁,解决类似故障,我已经在两家用户处进行了测试,起到了效果,但还需要观察。
补丁地址:(注意语言种类,以及针对的系统版本,这点很重要)
1)Microsoft 安全公告 MS06-040  Server 服务中的漏洞可能允许远程执行代码 (921883)
地址:http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2996b9b6-03ff-4636-861a-46b3eac7a305
补丁版本号:921883
2)启动计算机, 或 DBCS 附件文件名称不显示 RTF 电子邮件中后收到“通用主机进程”错误信息
地址:http://support.microsoft.com/?kbid=894391
补丁版本号:894191

金山:“魔鬼波”(Worm.IRC.WargBot.a)狂袭互联网 数千名用户紧急求助
http://db.kingsoft.com/news/virnews/2006/08/14/90450.shtml
江民:“魔鬼波”(Backdoor/Mocbot.b)蠕虫借微软新漏洞来袭 江民率先截获
http://www.jiangmin.com/News/jiangmin/index/important/2006814105157.htm
瑞星:“魔波(Worm.Mocbot.a)”和“魔波变种B(Worm.Mocbot.b)高危病毒现身 专家称其可能会大规模爆发
http://it.rising.com.cn/Channels/Info/Virus/2006-08-14/1155523580d37075.shtml
金山:“魔鬼波”(Worm.IRC.WargBot.a)狂袭互联网 数千名用户紧急求助
http://db.kingsoft.com/news/virnews/2006/08/14/90450.shtml
毒霸信息安全网 http://db.kingsoft.com
2006-08-14 15:51:21 来源:金山毒霸信息安全网
  8月14日,金山毒霸反病毒监测中心及时截获了利用系统高危漏洞进行传播的恶性蠕虫病毒——魔鬼波(Worm.IRC.WargBot.a)。作为IRCBot系列病毒的新变种,该病毒主要利用MS06-040漏洞进行主动传播,强势攻击互联网,可造成系统崩溃,网络瘫痪,并通过IRC聊天频道接受黑客的控制。
  魔鬼波运行后可生成m%wgareg.exe文件,添加系统服务为wgareg,并通过修改注册表信息降低系统安全等级,连接黑客指定的IRC频道,控制用户电脑,用户一旦感染了该病毒,就会出现系统服务崩溃,无法上网等症状,沦为“肉鸡”。
  据悉,微软已经在8月8日发布的MS06-040安全公告中称,其操作系统Server服务漏洞可能允许远程执行代码,并建议电脑用户立即升级。但由于相距微软发布该补丁程序的时间不长,很多用户还没有来得及对系统进行更新,因此近段时间内可能会有更多的电脑受到该病毒的攻击。金山已于9日进行漏洞数据库的更新,金山毒霸用户可以通过主动漏洞修复功能进行成功修复,有效防止病毒利用该漏洞进行攻击。
  金山毒霸反病毒应急中心已经及时进行了病毒库更新,升级毒霸到2006.08.14版本的病毒库即可彻底查杀;如未安装金山毒霸,可以登录http://db.kingsoft.com 免费下载最新版金山毒霸2006或使用金山毒霸在线业务清除该病毒,您拨打金山毒霸反病毒急救电话010-82331816,金山反病毒专家将为您提供帮助。
江民:“魔鬼波”(Backdoor/Mocbot.b)蠕虫借微软新漏洞来袭 江民率先截获
http://www.jiangmin.com/News/jiangmin/index/important/2006814105157.htm
www.jiangmin.com  2006-8-14 10:55:51  信息出自: 江民科技
      2006年8月13日,江民公司反病毒中心发布紧急病毒警报,一利用微软5天前刚刚发布的MS06-040漏洞传播的“魔鬼波”(Backdoor/Mocbot.b)蠕虫现身互联网,感染该蠕虫的计算机将被黑客远程完全控制。微软在8月8日例行发布的MS06-040安全公告中称,其操作系统Server服务漏洞可能允许远程执行代码,并建议电脑用户立即升级。
      据江民反病毒专家分析,“魔鬼波”蠕虫运行后,在系统目录下建立大小为9609字节的病毒文件wgareg.exe,该病毒文件经过加壳处理。病毒建立下面服务,以使自己可以在系统启动时自动运行。
        服务名:Windows Genuine Advantage Registration Service
        服务程序:wgareg.exe
        描述:Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling
        this service will result in system instability.
      “魔鬼波”通过TCP端口445利用MS06-040漏洞进行传播。蠕虫的传播过程可以在用户不知情的情况下主动进行,可能造成services.exe崩溃等现象。蠕虫还可通过AOL即时通讯工具自动发送包含恶意链接的消息。
       运行成功后,病毒会连接IRC服务器接收黑客命令,黑客的IRC服务器域名为:
            bniu.househot.com
            ypgw.wallloan.com
       经江民反病毒专家查询,以上2个服务器的IP分别位于贵州六盘水市电信和上海大学新校区。
       通过黑客命令,“魔鬼波”蠕虫可以进行下载运行任意程序,进行拒绝服务攻击(DDoS)等活动,使得用户计算机完全被黑客控制。
       江民反病毒专家提醒,针对该蠕虫,江民杀毒软件已经紧急升级了病毒库,KV系列杀毒软件用户升级到8月14日病毒库,即可全面查杀该蠕虫。专家担心,由于微软安全公告发布还不到一周,可能还有许多用户没有安装微软MS06-040漏洞补丁,专家呼吁电脑用户务必尽快安装漏洞补丁,避免遭受病病毒侵害。
       微软MS06-040Server服务漏洞可能允许远程执行代码补丁下载地址:
        http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx
瑞星:“魔波(Worm.Mocbot.a)”和“魔波变种B(Worm.Mocbot.b)高危病毒现身 专家称其可能会大规模爆发
http://it.rising.com.cn/Channels/Info/Virus/2006-08-14/1155523580d37075.shtml
来源:瑞星公司 时间:2006-08-14 10:08:06
瑞星黄色(三级)安全警报
   
[快讯]8月14日上午,瑞星全球反病毒监测网在国内率先截获到两个利用系统高危漏洞进行传播的恶性病毒——“魔波(Worm.Mocbot.a)”和“魔波变种B(Worm.Mocbot.b)病毒。据瑞星客户服务中心统计,目前国内已有数千用户遭受到该病毒攻击。
   
瑞星反病毒专家介绍说,该病毒会利用微软MS06-040高危漏洞进行传播。当用户的计算机遭受到该病毒攻击时,会出现系统服务崩溃,无法上网等症状。由于该病毒出现离微软发布补丁程序只有短短几天时间,有很多用户还没有来得及对系统进行更新。
   
因此,瑞星发出黄色(三级)安全警报,瑞星反病毒专家预测将会有更多的电脑受到该病毒攻击,“魔波”病毒甚至有可能会像“冲击波”、“震荡波”病毒一样大规模爆发。


  
(图为系统遭受病毒攻击,出现服务崩溃症状)
   
根据分析,“魔波”病毒会自动在网络上搜索具有系统漏洞的电脑,并直接引导这些电脑下载病毒文件并执行。只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。感染该病毒的计算机会自动连接特定IRC服务器的特定频道,接受黑客远程控制命令。用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取。由于病毒连接的IRC服务器在中国镜内,因此该病毒很有可能为国人编写。
    针对此恶性病毒,瑞星已经升级。瑞星杀毒软件2006版18.40.01版及更高版本可彻底查杀此病毒,请广大用户及时。同时,瑞星建议用户开启瑞星个人防火墙2006版,并关闭139及445端口。同时,登陆微软网站下载并安装MS-06-040补丁程序以防范此病毒攻击。遭受到该病毒攻击的用户,也可以拨打反病毒急救电话:010-82678800寻求帮助。
(注:该等级警报为2006年度第一次发布)

揭开SVCHOST.exe进程之谜
svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。
  大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。
发现
  在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。
  如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。
svchost中可以包含多个服务
深入
  windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?
  原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。
  从启动参数中可见服务是靠svchost来启动的。
实例
  以windows xp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\\windows\\system32\\svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
  在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“% systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
解惑
  因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。
  假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\\windows\\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\\windows\\system32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
  由于篇幅的关系,不能对svchost全部功能进行详细介绍,这是一个windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它。

svchost.exe应用程序出错
解决:
1.内存条坏了更换内存条
2、双内存不兼容使用同品牌的内存或只用一条内存
3、内存质量问题更换内存条
4、散热问题加强机箱内部的散热
5、内存和主板没插好或和其它硬件不兼容等重插内存或换个插糟
6、硬盘有问题更换硬盘
7、驱动问题重装驱动。如果是新系统,要先安装主板驱动
8、软件损坏重装软件
9、软件有BUG打补丁或用最新的版本。
10、软件和系统不兼容给软件打上补丁或者试试系统的兼容模式
11、软件和软件之间有冲突如果最近安装了什么新软件,卸载了试试
12、软件要使用到其它相关的软件有问题重装相关软件。比如播放某一格式的文件时出错,可能是这个文件的解码器有问题
13、病毒问题杀毒
14、杀毒软件与系统或软件冲突由于杀毒软件是进入底层监控系统的,可能与一些软件冲突,卸载了试试
15、系统本身有问题有时候操作系统本身也会有BUG,要注意安装官方发行的升级程序,像SP的补丁,最好要打上。如果还不行重装系统或更换其它版本的系统了。

微软官方补丁地址:http://www.microsoft.com/downloa ... 6-861a-46b3eac7a305

[ 本帖最后由 XXX 于 2006-8-14 20:35 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

欢迎大家光临恩山无线论坛上一条 /1 下一条

有疑问请添加管理员QQ86788181|手机版|小黑屋|Archiver|恩山无线论坛(常州市恩山计算机开发有限公司版权所有) ( 苏ICP备05084872号 )

GMT+8, 2024-12-14 15:35

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

| 江苏省互联网有害信息举报中心 举报信箱:js12377 | @jischina.com.cn 举报电话:025-88802724 本站不良内容举报信箱:68610888@qq.com

快速回复 返回顶部 返回列表