Win32.Agobot.Z是一個IRC木馬病毒,它可以使病毒控制者在未授權的情況下登錄被病毒感染的電腦。同時,它還具有蠕蟲病毒的功能:可以通過破解簡單密碼來獲取管理員許可權,可以通過DCOM RPC漏洞(MS03-026)來侵入電腦。這種病毒只能在基於NT技術的作業系統中運行。
基本介紹
- 病毒屬性:蠕蟲病毒
- 病毒名稱:Win32.Agobot.Z
- 危害性:低危害
- 流行程度:中
病毒簡介,入侵方式,功能,傳播方式,
病毒簡介
其它名稱::Backdoor.Agobot.3.p (Kaspersky),W32.HLLW.Gaobot.A
入侵方式
當Agobot.Z被執行時,它會在系統目錄下創建自己的備份:
%System%\LSAS.EXE
注意:在不同的作業系統中,系統目錄的名字是不同的,病毒通過查詢來確定當前作業系統的系統目錄位置。默認的系統目錄在Windows 2000 和NT中是C:\Winnt\System32;
在95,98和ME中是C:\Windows\System;在XP中是C:\Windows\System32。
同時,它會在註冊表中創建以下鍵值使病毒在系統啟動時能夠運行:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows Explorer="LSAS.EXE"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Windows Explorer="LSAS.EXE"
功能
後門功能
Win32.Agobot.Z通過預先定義的列表連線IRC服務,並進入一個特殊的頻道來對被感染電腦進行控制。
一旦病毒控制者得到了對方電腦的控制權,他可以利用這個病毒進行惡意破壞,例如破解簡單代碼獲取管理員許可權,利用DCOM RPC漏洞。病毒還可以進行以下操作:
■ 從網際網路上下載並執行檔案
■ 搜尋系統信息,例如作業系統的詳細信息
■ 在被感染電腦上執行檔案
■ 進行域名查找
終止進程:
病毒嘗試終止下列進程:
AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
WFINDV32.EXE
ZONEALARM.EXE
病毒還會終止其他蠕蟲的進程:
MSBLAST.EXE
PENIS32.EXE
MSPATCH.EXE
WINPPR32.EXE
DLLHOST.EXE
TFTPD.EXE
傳播方式
通過網路共享
當病毒通過網路共享傳播時,它會使用下列用戶名和密碼。
用戶名:
Administrator
admin
administrator
Administrateur
Default
mgmt
Standard
User
Administrador
Owner
Test
Guest
Gast
Invite
密碼:
admin
Admin
password
Password
1
12
123
1234
12345
123456
1234567
12345678
123456789
654321
54321
111
000000
00000000
11111111
88888888
pass
passwd
database
abcd
如果Win32.Agobot.Z能夠獲取管理員許可權,它就會複製自己到那台電腦上,病毒通過創建一個遠程服務檔案thesvc.exe或遠程添加一個時間記時器的方式來啟動自己的進程。
病毒可能監聽任意一個連線埠來傳輸自己到遠程電腦。
