Win32.Worm.Agobot.ny

   

     

病毒别名：W32/Gaobot.worm.gen [McAfee], Backdoor.Agobot [Kaspersky], Phatbot
处理时间：
威胁级别：★★
中文名称：安哥
病毒类型：蠕虫
影响系统：Win9x/WinNT/Win2K/WinXP/Win2003
病毒行为:
编写工具:


传染条件:


发作条件:


系统修改:
1.复制自制到系统目录下:
Csrrs.exe, Scvhost.exe, System.exe, explored.exe, or lms.exe.
2.在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
下增加键值如:
"Configuration Loader" = "Service.exe"
"Windows Login" = "lms.exe"
3.修改注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
以增加一个服务项,服务名为随机的
4.连接Irc服务器,作如下动作:
a.下载可执行程序
b.盗取系统信息
c.发送病毒给其它Irc用户
d.增加新的账号
e.实行DDos攻击
5. 通过以下系统漏洞感染其它计算机主机
a.DCOM RPC漏洞 TCP port 135.
b.WebDav漏洞 TCP port 80.
c.Workstation service 缓冲区溢出漏洞 TCP port 445.
d.Microsoft Messenger Service 缓冲区溢出漏洞.
e.Locator service漏洞 TCP port 445.
f.UPnP漏洞
g.Microsoft SQL Server 2000 或 MSDE 2000 audit漏洞 UDP port 1434.
h.LSASS漏洞 TCP ports 139 和 445.
i. Beagle 和 Mydoom 家族病毒打开的后门
6.用弱口令尝试连接局域网主机,如果连接成功则复制自身过去,并通过计划任务运行病毒
7.结束反病毒进程和防火墙
8.修改hosts文件,使用户不能登录到反病毒软件公司主页

发作现象:
1.用任务管理器可以看到几个与系统进程名非常相似的进程
2.很多反病毒公司网站不能正常登录
3.网络变得奇慢


特别说明: