国家计算机病毒应及处理中心通过对互联网的监测发现一个蠕虫Worm_Mocbot.A。该蠕虫是通过TCP端口445并利用微软公司在8月8日刚刚发布的系统漏洞补丁程序MS06-040来进行传播，该漏洞为Server可能允许远程执行代码漏洞。

    以下为该蠕虫的详细情况：

    病毒名称：Worm_Mocbot.A
    病毒类型：蠕虫
    其它命名：Worm.IRC.WargBot.a（金山）
               Worm.Mocbot.a（瑞星）
               Backdoor/Mocbot.b（江民）
               WORM_IRCBOT.JL（趋势）
    感染系统：Windows NT/2000/XP

    病毒介绍：

    该蠕虫可以在计算机用户不知情的情况下主动进行传播，一旦感染该蠕虫有可能会被恶意攻击者远程控制，严重的可能会造成计算机系统种services.exe进程崩溃。

    1、生成病毒文件

    计算机用户一旦受到该蠕虫的感染，会在系统目录%System％下生成自身的拷贝，名称为wgareg.exe。（其中，%System％在Windows NT/2000下为C:\Winnt\System32，在Windows XP下为 C:\Windows\System32）

    2、修改注册表

    蠕虫添加注册表项，使得自身能够在系统启动时自动运行，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg 下添加wgareg.exe = "%System%\wgareg.exe",从而添加服务Windows Genuine Advantage Registration Service,其服务进程为wgareg.exe。（其中，%System％在Windows NT/2000下为 C:\Winnt\System32，在Windows XP下为C:\Windows\System32）

    3、利用漏洞进行传播

    蠕虫通过TCP端口445并利用微软发布的系统漏洞补丁程序MS06-040来进行传播。如果蠕虫感染计算机系统，那么该系统会在互联网上通过目的端的TCP端口445进行扫描，一旦发现存在MS06-040漏洞,蠕虫会在计算机用户不知情的情况下感染计算机系统，进而达到传播的目的。

    4、进行恶意攻击

    蠕虫运行成功后，会连接IRC服务器接收恶意攻击的指令。如果受感染的计算机系统被恶意攻击完全控制，那么有可能会下载运行恶意程序，还有可能会进行拒绝服务攻击(DDoS)。