病毒名称:
Worm.Agobot.3.y.enc
类别: 蠕虫病毒
病毒资料:
破坏方法:
UPX压缩,VC++6.0编写,蠕虫。
一旦执行,病毒将自我复制系统文件夹.
它将创建下列注册表键值来使自己随Windows系统自启动:
HKLM\Software\Microsoft\Windows\CurrentVersion
\Run MS Config Stream="%SYSDIR%\%CURFILE%"
HKLM\Software\Microsoft\Windows\CurrentVersion
\RunServices
MS Config Stream="%SYSDIR%\%CURFILE%"
同时病毒也注册服务来自启动,服务名为:
backup32
网络传播:
该病毒利用在 windows 2000 和 XP 系统上的 Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) 漏洞。该漏洞允许攻击者获得在目标机器上完全的访问权限和执行代码权利。
通过对随机的 TCP/IP 地址的135端口的进行扫描,找到网络中存在安全漏洞的系统。
有关该漏洞的更多信息可以从下面的链接中找到:
Microsoft Security Bulletin MS03-026
该病毒还会利用 Windows NT, 2000, 和 XP 系统上的 RPC locator安全漏洞。它对随机的 TCP/IP 地址的445端口进行扫描,找到网络中存在安全漏洞的机器有关该漏洞的更多信息可以从下面的微软网页中找到:
Microsoft Security Bulletin MS03-001
除了这些漏洞,该病毒还会利用 IIS 5.0/WebDav 中的 Buffer Overrun 漏洞,它将影响 Windows NT 系统。这使得攻击者可以在存在安全漏洞的系统上执行任意代码。
有关该漏洞的更多信息可以从下面的链接中找到:
Microsoft Security Bulletin MS03-007
另外,该病毒还会在下面的拥有完全访问权限的网络共享中生成并执行自己的拷贝:
admin$
c$
d$
e$
print$
它可以进行IPC弱口令猜测,可能的用户名、密码组合为:
用户名:
Admin
student
teacher
database
mysql
OWNER
computer
admins
owner
wwwadmin
Inviter
Guest
Owner
administrador
Administrat
Standard
Convidado
Default
administrator
admin
kanri-sha
kanri
Ospite
Verwalter
Administrador
Coordinatore
Administrateur
Administrator
密码:
mypass
poiuytrewq
zxcvbnm
admin123
qwerty
red123
passWord123
abc123
qwertyuiop
secrets
homework
werty
mybox
school
metal
pussy
vagina
mybaby
asdfghjkl
xxyyzz
test123
changeme
penis
supersecret
superman
Login
secret
Foobar
patrick
alpha
123abc
1234qwer
123123
121212
111111
enable
godblessyou
ihavenopass
123asd
super
Internet
123qwe
sybase
Oracle
passwd
88888888
11111111
00000000
000000
54321
654321
123456789
12345678
1234567
123456
12345
Password
password
此用户名密码词典长度较长,限于篇幅不全部列举,因此建议用户最好将密码设置越复杂越好。
后门功能 :
该病毒拥有后门程序功能,它允许远程用户获取访问受感染系统的权限。
它连接到一个Internet Relay Chat (IRC)频道,并成为一种bot,等待来自恶意用户的下面命令:
发送如下的系统信息:
CPU 速度
内存大小
Windows 平台, 版本号和产品 ID
病毒正常运行时间
当前登陆的用户
使共享网络失效
结束恶意程序
通过 DNS 解析 IP 和主机名
获取病毒状态
执行 .EXE 文件
打开文件
对 DNS 缓冲区进行洪水攻击
使 DCOM 失效/ 使共享失效
对 IRC 服务器断开/重新连接
改变 IRC 服务器
加入一个频道
离开一个频道
通过 IRC 发送私人信息
通过 HTTP 或 FTP 更新病毒
从 HTTP 或 FTP 服务器下载并执行一个文件
重启电脑
关闭电脑
使当前用户退出登陆
对正在运行的所有进程列表
对目标机器执行下面的洪水攻击:
ICMP Flood 攻击
UDP Flood 攻击
SYN Flood 攻击
HTTP Flood 攻击
信息盗取:
它能够盗取用户系统信息,包括:
一些软件的CDKEY,序列号,ID,如:
BF1942 CDKey
BF1942 RtR CDKey
BF1942 SWoWWII CDKey
Chrome CDKey
Command & Conquer Generals CDKey
Counter-Strike CDKey
FIFA 2002 CDKey
FIFA 2003 CDKey
Half-Life CDKey
Hidden and Dangerous 2 CDKey
LoMaM CDKey
NFSHP2 CDKey
NHL 2002 CDKey
NHL 2003 CDKey
NOX CDKey
NWN CDKey
Nascar 2002 CDKey
Nascar 2003 CDKey
Project IGI 2 CDKey
Red Alert 2 CDKey
Red Alert CDKey
SOF2 CDKey
The Gladiators CDKey
Tiberian Sun CDKey
UT2003 CDKey
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-12-5