病毒名称:
Backdoor.Agobot.3.cz
类别: 后门病毒
病毒资料:
破坏方法:
“高波”变种。利用“震荡波”传播自己。
一、系统中的病毒文件:
%SYSTEM%\WinMsrv32.EXE
%SYSTEM%\wormride.dll
二、被病毒添加的注册表项:
1 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"WinMsrv32" : WINMSRV32.EXE
2 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
"WinMsrv32" : WINMSRV32.EXE
三、病毒破坏hosts文件,使用户不能被访问若干网址。
四、建立三个后门。
1. 监听TCP 113端口,
2. 监听TCP 随机端口,例如15849,作为Bot Server
3. 监听TCP 随机端口,例如17428,作为FTP端口。利用“震荡波”传送ftp命令脚本,
传送病毒自身到远程机器。
五、被病毒屏蔽的网址
www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.McAfee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
viruslist.com
f-secure.com
www.f-secure.com
kASPersky.com
kaspersky-labs.com
www.avp.com
www.kaspersky.com
avp.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
www.nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
www.trendmicro.com
www.grisoft.com
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-5-18