Backdoor/Agobot.3.ef
病毒長度:207872 位元組病毒類型:網路蠕蟲
危害等級:**
影響平台:Win9X/2000/XP/NT/Me
Backdoor/Agobot.3.ef是一個網路蠕蟲,通過開放的網路共享機系統漏洞進行傳播。此外還作為後門攻擊其它的計算機,並企圖終止反病毒軟體和安全程式。
利用的微軟漏洞包括:
MS03-026:DCOM RPC漏洞
MS03-007:WebDav漏洞
MS03-049:Workstation service緩衝區溢出漏洞
MS04-011:LSASS漏洞
MS01-059:UPnP漏洞
MS02-061:Microsoft SQL Server 2000和MSDE 2000審計漏洞
傳播過程及特徵:
1.複製自身為:%System%lrbz32.exe
2.修改註冊表:
添加鍵值:"MS Config v13"="lrbz32.exe"
到註冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
3.刪除與一些蠕蟲有關聯的檔案和添加修改的註冊表鍵值,並結束下列進程:
winhlpp32.exe
tftpd.exe
dllhost.exe
winppr32.exe
mspatch.exe
penis32.exe
msblast.exe
4.連線一個遠程IRC伺服器,在此等待攻擊者發出的指令:
運行命令
通過FTP和HTTP搜尋檔案
在註冊表中搜尋數據
重起計算機
列出進程表
結束特定的進程
終止系統服務
發動HTTP flood、ICMP flood、SYN flood、UDP flood攻擊
搜尋存儲在計算機上的郵件地址
通過HTTP搜尋郵件地址
運行假設的URL
吸收HTTP,FTP,IRC流量
盜取Windows生產ID號及各種遊戲的CD Key
發出垃圾信使服務信息
5.利用內置的用戶名和密碼連線到下列共享網路:
/admin$
/c$
/d$
/e$
/print$
/c
並複製自身到已分享資料夾下,遠程控制蠕蟲運行的時間。
