病毒名称:
Worm.Agobot.3.ut
类别: 蠕虫病毒
病毒资料:
破坏方法:
集蠕虫,后门一身的病毒。
一旦执行,病毒将自我复制系统文件夹.
它将在注册表中创建键值来使自己随Windows系统自启动
网络传播:
该病毒利用在 windows 2000 和 XP 系统上的Remote Procedure Call (RPC) Distributed Component Object Model (DCOM)漏洞。该漏洞允许攻击者获得在目标机器上完全的访问权限和执行代码权利。
通过对随机的TCP/IP 地址的135端口的进行扫描,找到网络中存在安全漏洞的系统。
有关该漏洞的更多信息可以从下面的链接中找到:
Microsoft Security Bulletin MS03-026
该病毒还会利用 Windows NT, 2000, 和 XP 系统上的 RPC locator安全漏洞。它对随机的TCP/IP 地址的445端口进行扫描,找到网络中存在安全漏洞的机器。
有关该漏洞的更多信息可以从下面的微软网页中找到:
Microsoft Security Bulletin MS03-001
它可以进行IPC弱口令猜测,建议用户最好将密码设置越复杂越好。
后门功能 :
该病毒拥有后门程序功能,它允许远程用户获取访问受感染系统的权限。
它连接到一个Internet Relay Chat (IRC)频道,并成为一种bot,等待来自恶意用户的下面命令:
发送如下的系统信息:
CPU 速度
内存大小
Windows 平台, 版本号和产品 ID
病毒正常运行时间
当前登陆的用户
使共享网络失效
结束恶意程序
通过 DNS 解析 IP 和主机名
获取病毒状态
执行 .EXE 文件
打开文件
对 DNS 缓冲区进行洪水攻击
使 DCOM 失效/ 使共享失效
对 IRC 服务器断开/重新连接
改变 IRC 服务器
加入一个通道
离开一个通道
通过 IRC 发送私人信息
通过 HTTP 或 FTP 更新病毒
从 HTTP 或 FTP 服务器下载并执行一个文件
重启电脑
关闭电脑
使当前用户退出登陆
对正在运行的所有进程列表
对目标机器执行下面的洪水攻击:
ICMP Flood 攻击
UDP Flood 攻击
SYN Flood 攻击
HTTP Flood 攻击
信息盗取:
它能够盗取用户系统信息,包括:
一些软件的CDKEY,序列号,ID,如:
Unreal Tournament 2004:
Unreal Tournament 2003:
The Gladiators
Soldier Of Fortune 2
Soldiers Of Anarchy
Shogun: Total War: Warlord Edition
Ravenshield
Neverwinter Nights
Need For Speed
Need For Speed
NHL 2003
NHL 2002
Nascar Racing 2003
等等。
记录键盘操作:
病毒通过记录被感染的机器的键盘操作记录从而盗取信息;
它能够终止大量计算机防护软件的运行,如:
F-AGOBOT.EXE
HIJACKTHIS.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
ZONEALARM.EXE
ZONALM2601.EXE
ZATUTOR.EXE
ZAPSETUP3001.EXE
ZAPRO.EXE
XPF202EN.EXE
WYVERNWORKSFIREWALL.EXE
WUPDT.EXE
WUPDATER.EXE
WSBGATE.EXE
WRCTRL.EXE
WRADMIN.EXE
WNT.EXE
WNAD.EXE
WKUFIND.EXE
WINUPDATE.EXE
WINTSK32.EXE
WINSTART001.EXE
WINSTART.EXE
WINSSK32.EXE
WINSERVN.EXE
WINRECON.EXE
WINPPR32.EXE
WINNET.EXE
WINMAIN.EXE
WINLOGIN.EXE
WININITX.EXE
WININIT.EXE
WININETD.EXE
WINDOWS.EXE
...
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-6
