病毒名称:
backdoor.agobot.5.gen
类别: 后门病毒
病毒资料:
破坏方法:
"高波"病毒变种。
将自己复制到系统目录,文件名为lsas.exe,修改注册表
HLM\software\microsoft\windows\currentversion\run
和HLM\software\microsoft\windows\currentversion\runservice,是他能够开机自启动。
注册成服务,使得进程难以被结束。
运行命令将本地驱动器都设共享。
搜索本地局域网的机器,通过RPC DCOM漏洞(135号端口)和RPC Locator(445号端口)进行传播。
驻留内存,枚举进程,可结束多种反毒进程。
_AVPM.EXE,_AVPCC.EXE,_AVP32.EXE,ZONEALARM.EXE,ZONALM2601.EXE,ZATUTOR.EXE,
ZAPSETUP3001.EXE,ZAPRO.EXE,XPF202EN.EXE,WYVERNWORKSFIREWALL.EXE,WUPDT.EXE,
WUPDATER.EXE, WSBGATE.EXE,WRCTRL.EXE,WRADMIN.EXE,WNT.EXE,WNAD.EXE.....
获取本地EA游戏密码。连接远程网站,发送本地信息。
尝试通过一下密码连接远程共享目录
mypass,mypc,love,poiuytrewq,zxcvbnm,admin123,qwerty,red123,passWord123,abc123,
qwertyuiop,secrets,homework,porn,baby,werty,mybox,school,work,metal,leet,
pussy,vagina,mybaby.......
不停地开启线程,严重消耗CPU资源。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-3-9