国家计算机病毒应及处理中心通过对互联网的监测发现一个蠕虫 Worm_Mocbot.A。该蠕虫是通过TCP端口445并利用微软公司在8月8日 刚刚发布的系统漏洞补丁程序MS06-040来进行传播，该漏洞为Server可能允许远程执行代码漏洞。

以下为该蠕虫的详细情况：

病毒名称：Worm_Mocbot.A

病毒类型：蠕虫

其它命名：Worm.IRC.WargBot.a（金山）

Worm.Mocbot.a（瑞星）

Backdoor/Mocbot.b（江民）

WORM_IRCBOT.JL（趋势）

感染系统：Windows NT/2000/XP

病毒介绍：

该蠕虫可以在计算机用户不知情的情况下主动进行传播，一旦感染该蠕虫有可能会被恶意攻击者远程控制，严重的可能会造成计算机系统种services.exe进程崩溃。

1、生成病毒文件

计算机用户一旦受到该蠕虫的感染，会在系统目录%System％下生成自身的拷贝，名称为wgareg.exe。
（其中，%System％在Windows NT/2000下为C:WinntSystem32，在Windows XP下为 C:WindowsSystem32）

2、修改注册表

蠕虫添加注册表项，使得自身能够在系统启动时自动运行，在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
wgareg 下添加wgareg.exe = "%System%wgareg.exe",从而添加服务Windows Genuine Advantage Registration Service,其服务进程为wgareg.exe。（其中，%System％在Windows NT/2000下为C:WinntSystem32，在Windows XP下为 C:WindowsSystem32）

3、利用漏洞进行传播

蠕虫通过TCP端口445并利用微软发布的系统漏洞补丁程序MS06-040来进行传播。如果蠕虫感染计算机系统，那么该系统会在互联网上通过目的端的TCP端口445进行扫描，一旦发现存在MS06-040漏洞,蠕虫会在计算机用户不知情的情况下感染计算机系统，进而达到传播的目的。

4、进行恶意攻击

蠕虫运行成功后，会连接IRC服务器接收恶意攻击的指令。如果受感染的计算机系统被恶意攻击完全控制，那么有可能会下载运行恶意程序，还有可能会进行拒绝服务攻击(DDoS)。

目前，北京江民公司、瑞星公司、趋势科技公司和金山公司已经能够检测、清除该蠕虫，同时有专杀工具提供给计算机用户。计算机用户成功清除蠕虫后，要立即上网下载安装微软公布的MS06-040漏洞补丁程序，防止再次感染蠕虫。