病毒名称:
Worm.Agobot.3.sj
类别: 普通文件病毒
病毒资料:
破坏方法:
Agobot病毒变种。
主动监测系统是否存在一些侦查软件,如果存在则退出,防止病毒被反编译或跟踪。
将自己拷贝到系统目录下,文件名为WINL0G0N.exe,并修改注册表:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows NT Update Manager : WINL0G0N.exe
HKLM\Software\Microsoft\Windows\CurrentVersion
\RunServices
Windows NT Update Manager : WINL0G0N.exe
这样病毒能随开机而启动。
连接IRC服务器特定频道,接受黑客控制。接受黑客的命令在本地执行,并将结果发回IRC频道。
枚举局域网机器,通过猜测局域网共享弱口令和使用漏洞传播自身。传染性强,且占用大量网络资源。
结束下列进程,大多数为反毒和防火墙程序:
AVPM.EXE,
_AVPCC.EXE,
_AVP32.EXE,
ZONEALARM.EXE,
ZONALM2601.EXE,
ZATUTOR.EXE,
ZAPSETUP3001.EXE,
ZAPRO.EXE,
XPF202EN.EXE,
WYVERNWORKSFIREWALL.EXE,
WUPDT.EXE,WUPDATER.EXE,
WSBGATE.EXE,
WRCTRL.EXE,WRADMIN.EXE,
WNT.EXE,WNAD.EXE,
WKUFIND.EXE,
WINUPDATE.EXE,
WINTSK32.EXE,
WINSTART001.EXE,
WINSTART.EXE,
WINSSK32.EXE,
WINSERVN.EXE,
WINRECON.EXE,
WINPPR32.EXE,
WINNET.EXE,
WINMAIN.EXE,
WINLOGIN.EXE,
WININITX.EXE,
WININIT.EXE,
WININETD.EXE,
WINDOWS.EXE,
WINDOW.EXE,
WINACTIVE.EXE,
WIN32US.EXE,
WIN32.EXE,
WIN-BUGSFIX.EXE,
WIMMUN32.EXE,
WHOSWATCHINGME.EXE,
WGFE95.EXE,
WFINDV32.EXE,
WEBTRAP.EXE,
WEBSCANX.EXE,
WEBDAV.EXE....
对一些特定网站发起DoS攻击,病毒传播越广,网站受到的攻击越多。
修改TCP/IP配置文件,屏蔽多款杀毒软件的升级网址和网站地址。
试图盗取多款著名游戏的序列号。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-11-10