病毒名称:
Backdoor.Agobot.3.bb.enc
类别: 后门病毒
病毒资料:
破坏方法:
如果用户感染此病毒,建议首先断开网络,检查系统所有用户密码是否为空或太简单,打最新的补丁,然后全盘杀毒
该病毒拷贝自身到系统目录 ntdom.exe,开辟将近50个线程,疯狂地试探网络的IP地址,连接135和445端口。
寻找irc服务器,利用其漏洞进行传播。病毒消耗大量系统资源和网络资源。
一、试图连接下列IRC服务器,利用漏洞攻击进去。
irc.at-host.net
ircd.at-host.net
二、 修改注册表,实现自启动,创建服务进程。用户可以手工清除。
1
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
"Configuration Loader" : NTDOM.EXE
2
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\RunServices
"Configuration Loader" : NTDOM.EXE
3
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\a3
(服务名)Configuration Loader :
(程序路径)"%SYSTEM%\NTDOM.EXE" -SERVICE
三、枚举网络上所有主机,创建一个相应线程进行连接测试,发现具有IPC漏洞的机器,拷贝自身过去,并创建服务进程。
四、偷用户机器上的“红色警报”、“极品发车”等诸多流行的正版游戏的CD Key。
Nascar 2002
NHL 2003
NHL 2002
FIFA 2003
FIFA 2002
NFSHP2
The Gladiators
UT2003
LoMaM
Counter-Strike
Half-Life
......
五、病毒终止下列进程,这些进程是病毒程序。
winhlpp32.exe
tFTPd.exe
dllhost.exe
winppr32.exe
mspatch.exe
penis32.exe
msblast.exe
六、如果用户感染此病毒,建议首先断开网络,检查系统所有用户密码是否为空或太简单,打最新的补丁,然后全盘杀毒。
病毒采用下列字符串进行 IPC 连接密码测试
mypass
poiuytrewq
zxcvbnm
admin123
qwerty
red123
passWord123
abc123
qwertyuiop
secrets
homework
werty
mybox
school
metal
pussy
vagina
mybaby
asdfghjkl
xxyyzz
private
test123
changeme
penis
supersecret
superman
Login
secret
Foobar
patrick
alpha
123abc
1234qwer
123123
121212
111111
enable
godblessyou
ihavenopass
123asd
super
Internet
123qwe
sybase
Oracle
passwd
88888888
11111111
00000000
000000
54321
654321
123456789
12345678
1234567
123456
12345
Password
password
Admin
student
teacher
database
mysql
OWNER
computer
admins
owner
wwwadmin
Inviter
Guest
server
Owner
administrador
Administrat
Standard
Convidado
Default
administrator
admin
kanri-sha
kanri
Ospite
Verwalter
Administrador
Coordinatore
Administrateur
Administrator
七、病毒枚举系统进程,发现有下列进程,则将其终止。
FSAV.EXE
FRW.EXE
FPROT.EXE
FP-WIN_TRIAL.EXE
FP-WIN.EXE
FLOWPROTECTOR.EXE
FIREWALL.EXE
FINDVIRU.EXE
FAST.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
EXPERT.EXE
EXE.AVXW.EXE
EXANTIVIRUS-CNET.EXE
EVPN.EXE
ETRUSTCIPE.EXE
ESPWATCH.EXE
ESCANV95.EXE
ESCANHNT.EXE
ESCANH95.EXE
ESAFE.EXE
ENT.EXE
EFPEADM.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
DRWEB32.EXE
DRWATSON.EXE
DPFSETUP.EXE
DPF.EXE
DOORS.EXE
DEPUTY.EXE
DEFWATCH.EXE
Claw95cf.EXE
Claw95.EXE
CWNTDWMO.EXE
CWNB181.EXE
CV.EXE
CTRL.EXE
CPFNT206.EXE
CPF9X206.EXE
CPD.EXE
CONNECTIONMONITOR.EXE
CMON016.EXE
CMGRDIAN.EXE
CLEANPC.EXE
CLEANER3.EXE
CLEANER.EXE
CLEAN.EXE
CLAW95CF.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
CFGWIZ.EXE
CDP.EXE
BlackICE.EXE
BS120.EXE
BORG2.EXE
BOOTWARN.EXE
BLACKICE.EXE
BLACKD.EXE
BISP.EXE
BIPCPEVALSETUP.EXE
BIPCP.EXE
BIDSERVER.EXE
BIDEF.EXE
BD_PROFESSIONAL.EXE
Avsched32.EXE
AvkServ.EXE
Avgctrl.EXE
AvgServ.EXE
AvSynMgr.AVSYNMGR.EXE
AutoTrace.EXE
AckWin32.EXE
AVXQUAR.EXE
AVXMONITORNT.EXE
AVXMONITOR9X.
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-12-15
