Worm.Agobot.p

病毒名称:

Worm.Agobot.p

类别： 蠕虫病毒

病毒资料：

破坏方法：

利用微软漏洞和弱口令猜测传播的蠕虫病毒采用MS VC++6.0编写，UPX压缩，是通过网络共享弱口令猜测和微软漏洞传播的蠕虫

病毒利用的漏洞有：

1. RPC DCOM漏洞, 端口：135

2. RPC locator漏洞 端口：445

病毒一旦执行，将执行下列操作：

1.复制自身到如下目录：

％SYSDIR％\Winhl32.exe

并修改注册表以使自己随系统启动启动

2.病毒打开一个随机的端口连接到其master

3.自动连接到一个预定义的IRC服务器的一个channel，使用这个channel监听来自其master的指令，

其指令可能为：

Manage the installation of the worm

Dynamically update the installed worm

Download and execute files

Steal the compromised system's information

Send the worm to other IRC users

Add accounts for the hacker

4.打开并监听22226端口，用来给其它机器提供病毒体下载；

5.探测RPC DCOM和RPC locator漏洞

6.使用下列用户/密码组合来猜测共享：

User: PassWord:

Administrator admin

admin Admin

administrator password

Administrateur Password

Default 1

mgmt 12

Standard 123

User 1234

Administrador 12345

Owner 123456

Test 1234567

Guest 12345678

Gast 123456789

Inviter 654321

a 54321

aaa 111

abc 000000

x 00000000

xyz 11111111

Dell 88888888

home pass

pc passwd

test databse

temp abcd

win Oracle

asdf sybase

qwer 123qwe

login server

computer

Internet

super

123asd

ihavenopass

godblessyou

enable

XP

2002

2003

2600

0

110

111111

121212

123123

1234qwer

123abc

007

alpha

patrick

pat

administrator

root

sex

god

Foobar

a

aaa

abc

test

temp

win

pc

asdf

secret

qwer

yxcv

zxcv

home

xxx

owner

login

pwd

pass

love

mypc

mypass

pw

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

\CurrentVersion\Run

"Config Loader"="svchosl.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

\CurrentVersion\RunServices

"Config Loader"="svchosl.exe"

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2003-8-22

• ·Worm.Shoho.a
• ·Worm.RPC.Zerg.b
• ·Wrom.RPC.Zerg.Cleanup
• ·Worm.Blaster.b
• ·Worm.RPC.Sdbot
• ·Worm.Winny
• ·Worm.Dumaru.a
• ·Worm.Colevo.c
• ·Worm.Colevo.a
• ·Worm.generic.g