概述
病毒別名:W32/Gaobot.worm.gen 【McAfee】, Backdoor.Agobot 【Kaspersky】, Phatbot處理時間:
威脅級別:★★
中文名稱:安哥
病毒類型:蠕蟲
影響系統:Win9x/WinNT/Win2K/WinXP/Win2003
病毒行為:
編寫工具:
傳染條件:
發作條件:
系統修改:
1.複製自製到系統目錄下:Csrrs.exe, scvhost.exe, System.exe, explored.exe, or lms.exe.
2.在註冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
下增加鍵值如:
"Configuration Loader" = "service.exe"
"Windows Login" = "lms.exe"
3.修改註冊表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
以增加一個服務項,服務名為隨機的
4.連線Irc伺服器,作如下動作:
a.下載可執行程式
b.盜取系統信息
c.傳送病毒給其它Irc用戶
d.增加新的賬號
e.實行DDos攻擊
5. 通過以下系統漏洞感染其它計算機主機
a.DCOM RPC漏洞 TCP port 135.
b.WebDav漏洞 TCP port 80.
c.Workstation service 緩衝區溢出漏洞 TCP port 445.
d.Microsoft Messenger Service 緩衝區溢出漏洞.
e.Locator service漏洞 TCP port 445.
f.UPnP漏洞
g.Microsoft SQL Server 2000 或 MSDE 2000 audit漏洞 UDP port 1434.
h.LSASS漏洞 TCP ports 139 和 445.
i. Beagle 和 Mydoom 家族病毒打開的後門
6.用弱口令嘗試連線區域網路主機,如果連線成功則複製自身過去,並通過計畫任務運行病毒
7.結束反病毒進程和防火牆
8.修改hosts檔案,使用戶不能登錄到反病毒軟體公司主頁
發作現象:
1.用任務管理器可以看到幾個與系統進程名非常相似的進程2.很多反病毒公司網站不能正常登錄
3.網路變得奇慢
特別說明:
