病毒名称:
Worm.Agobot.3.do
类别: 蠕虫
病毒资料:
破坏方法:
UPX压缩,VC++6.0编写,蠕虫。
一旦执行,病毒将自我复制到系统文件夹.
它将创建下列注册表键值来使自己随Windows系统自启动:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Machine Debug Manager"="%SYSDIR%\mdms.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"Machine Debug Manager"="%SYSDIR%\mdms.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"Machine Debug Manager"="%SYSDIR%\mdms.exe"
网络传播:
该病毒进行IPC弱口令猜测,体内包含一个很长的用户名、密码词典
常用的英文单词。
鉴于此,建议用户最好将密码设置越复杂越好。
后门功能 :
该病毒拥有后门程序功能,它允许远程用户获取访问受感染系统的权限。
它连接到一个Internet Relay Chat (IRC)频道,并成为一种bot,等待来自恶意用户的下面命
令:
发送如下的系统信息:
CPU 速度
内存大小
Windows 平台, 版本号和产品 ID
病毒正常运行时间
当前登陆的用户
使共享网络失效
通过 DNS 解析 IP 和主机名
获取病毒状态
执行 .EXE 文件
打开文件
对 DNS 缓冲区进行洪水攻击
使 DCOM 失效/ 使共享失效
对 IRC 服务器断开/重新连接
改变 IRC 服务器
加入一个频道
离开一个频道
通过 IRC 发送私人信息
通过 HTTP 或 FTP 更新病毒
从 HTTP 或 FTP 服务器下载并执行一个文件
重启电脑
关闭电脑
使当前用户退出登陆
对正在运行的所有进程列表
对目标机器执行下面的洪水攻击:
SYN Flood 攻击
端口扫描
病毒“SCO炸弹”后门扫描
等
信息盗取:
它能够盗取用户系统信息,包括:
一些软件的CDKEY,序列号,ID,如:
Command & Conquer Generals CDKey
FIFA 2003 CDKey
NFSHP2 CDKey
SOF2 CDKey
NWN CDKey
Rainbow Six III RavenShield CDKey
Battlefield 1942 Road To Rome CDKey
Battlefield 1942 CDKey
Project IGI 2 CDKey
等等
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-3-17
