病毒名称:
Worm.Agobot.3.su
类别: 蠕虫病毒
病毒资料:
破坏方法:
Agobot病毒变种。是一种蠕虫兼后门。
通过局域网共享和漏洞进行传播。
体内含有密码字典,如:
sistema invit,utente,benutzer,utilisateur,blowjob,child,rapeme,myhole,qwerty123,mygirl,
fUCk-you,fuckyou,mypass,switch,madre,
quidditch,dementor,hogwarts,buckbeak,cauldron,askaban,azkaban,gryffindor,hermine,hermione,potter,hagrid,dumbledore,harry,copine,copin,mince,merde,carte,reseau,ecran,opteron,athlon,moonshine,biere,
cederom,imprimeur,souris,ordinateur,mouse,poiut,azerty,whiskey,whisky,jackdaniels
tennessee,Tennessee,washington,Washington,Texas,texas,poiuytrewq,,zxcvbnm
admin123,Administrateur,Administrator.....
运行成功后将自己拷贝到系统system32目录下,文件名为regsvr.exe和ipconfig.exe。
修改注册表:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Generic Service Process : regsvr.exe
HKLM\Software\Microsoft\Windows\CurrentVersion
\RunServices
Generic Service Process : regsvr.exe
这样,每次开机病毒都能启动。
修改TCP/IP配置文件,屏蔽多家杀毒软件的网址。
遍历进程,结束下列进程:
AV.EXE,WINDUMP.EXE,DEBUG.EXE,FRHED.EXE,LOGVIEWER.EXE,HONEYD.EXE,LOGGER.EXE,
WINDBG.EXE,CONDOM.EXE,TEST.EXE,IISLOCKD.exe,KD.EXE,ARMKILLER,CLIENT.EXE,DUMP.EXE,
PMDUMP.EXE,FW.EXE,NETWORKACTIVSNIFFERV1.4.EXE,CRACKER.EXE,SRIN.EXE,PEDASM.EXE,
53ARCH.EXE,FPORT.EXE,BCW.EXE,APORTS.EXE,RERGCLEANR.EXE,REGCLEANER.EXE,TCPVIEW.EXE,
F-AGOBOT.EXE,HIJACKTHIS.EXE,_AVPM.EXE,
_AVPCC.EXE,_AVP32.EXE,ZONEALARM.EXE,
ZONALM2601.EXE,ZATUTOR.EXE,ZAPSETUP3001.EXE,
ZAPRO.EXE,XPF202EN.EXE......
可结束大量反病毒软件,防火墙,诊断工具。
病毒通过截获系统调用来隐藏病毒进程和病毒文件。所以可能出现有病毒症状但却找不到病毒的情况。
运行后主动连接IRC服务器。黑客通过irc方式可掌握被感染机器的几乎所有信息,利用被感染及其做任何事情。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-11-25
