Win32.Hack.Agobot.af

病毒别名：

处理时间：2005-09-23

威胁级别：★

中文名称：

病毒类型：黑客程序

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒是一个供黑客远程控制的后门病毒。该病毒运行时，首先拷贝自身到%windows%sysrs.exe，然后添加注册表启动项，使自身能随开机启动。该病毒使黑客通过IRC聊天室向病毒发送命令来控制用户的主机，使用户沦为“肉鸡”，该病毒会发出udp，icmp等协议的洪水攻击。

1，生成文件

%windows%sysrs.exe

2，添加注册表

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSVC Module

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSVC Module

"ImagePath" = "%windows%sysrs.exe"

3，自我保护

如发现自身在虚拟机里，将不发作，并删除病毒体。

通过以下注册表信息判断是否在虚拟机里

HKLMSOFTWAREVMware, Inc.VMware Tools

"InstallPath"

HKLMSOFTWAREVMware, Inc.VMware Tools

"ShowTray"

4，IRC聊天室控制命令

Bot sniff

IRC sniff

FTP sniff

ackflood

icmpflood

synflood

phatwonk

udpflood

kill

login

logout

等