Win32.Agobot.Z
病毒名称:Win32.Agobot.Z
其它名称::Backdoor.Agobot.3.p (Kaspersky),W32.HLLW.Gaobot.A
病毒属性:蠕虫病毒 危害性:低危害 流行程度:中
具体介绍:
特征:
Win32.Agobot.Z是一个IRC木马病毒,它可以使病毒控制者在未授权的情况下登录被病毒感染的电脑。同时,它还具有蠕虫病毒的功能:可以通过破解简单密码来获取管理员权限,可以通过DCOM RPC漏洞(MS03-026)来侵入电脑。这种病毒只能在基于NT技术的操作系统中运行。
入侵方式:
当Agobot.Z被执行时,它会在系统目录下创建自己的备份:
%System%LSAS.EXE
注意:在不同的操作系统中,系统目录的名字是不同的,病毒通过查询来确定当前操作系统的系统目录位置。默认的系统目录在Windows 2000 和NT中是C:WinntSystem32;
在95,98和ME中是C:WindowsSystem;在XP中是C:WindowsSystem32。
同时,它会在注册表中创建以下键值使病毒在系统启动时能够运行:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWindows Explorer="LSAS.EXE"
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWindows Explorer="LSAS.EXE"
功能:
后门功能
Win32.Agobot.Z通过预先定义的列表连接IRC服务,并进入一个特殊的频道来对被感染电脑进行控制。
一旦病毒控制者得到了对方电脑的控制权,他可以利用这个病毒进行恶意破坏,例如破解简单代码获取管理员权限,利用DCOM RPC漏洞。病毒还可以进行以下操作:
■ 从互联网上下载并执行文件
■ 搜索系统信息,例如操作系统的详细信息
■ 在被感染电脑上执行文件
■ 进行域名查找
终止进程:
病毒尝试终止下列进程:
AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
WFINDV32.EXE
ZONEALARM.EXE
病毒还会终止其他蠕虫的进程:
MSBLAST.EXE
PENIS32.EXE
MSPATCH.EXE
WINPPR32.EXE
DLLHOST.EXE
TFTPD.EXE
传播方式:
通过网络共享
当病毒通过网络共享传播时,它会使用下列用户名和密码。
用户名:
Administrator
admin
administrator
Administrateur
Default
mgmt
Standard
User
Administrador
Owner
Test
Guest
Gast
Invite
密码:
admin
Admin
password
Password
1
12
123
1234
12345
123456
1234567
12345678
123456789
654321
54321
111
000000
00000000
11111111
88888888
pass
passwd
database
abcd
如果Win32.Agobot.Z能够获取管理员权限,它就会复制自己到那台电脑上,病毒通过创建一个远程服务文件thesvc.exe或远程添加一个时间记时器的方式来启动自己的进程。
病毒可能监听任意一个端口来传输自己到远程电脑。