Worm.Agobot3.az

病毒名称:

Worm.Agobot3.az

类别： 蠕虫病毒

病毒资料：

破坏方法：

UPX压缩，VC++6.0编写，蠕虫。

一旦执行，病毒将自我复制系统文件夹.

它将创建下列注册表键值来使自己随Windows系统自启动:

HKLM\Software\Microsoft

\Windows\CurrentVersion\Run

HKLM\Software\Microsoft

\Windows\CurrentVersion\RunServices

同时病毒也注册服务来自启动，服务名为：

ServicesActive

网络传播：

该病毒利用在 windows 2000 和 XP 系统上的 Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) 漏洞。该漏洞允许攻击者获得在目标机器上完全的访问权限和执行代码权利。

通过对随机的 TCP/IP 地址的135端口的进行扫描，找到网络中存在安全漏洞的系统。

有关该漏洞的更多信息可以从下面的链接中找到：

Microsoft Security Bulletin MS03-026

该病毒还会利用 Windows NT, 2000, 和 XP 系统上的 RPC locator安全漏洞。它对随机的 TCP/IP 地址的445端口进行扫描，找到网络中存在安全漏洞的机器有关该漏洞的更多信息可以从下面的微软网页中找到：

Microsoft Security Bulletin MS03-001

除了这些漏洞，该病毒还会利用 IIS 5.0/WebDav 中的 Buffer Overrun 漏洞，它将影响 Windows NT 系统。这使得攻击者可以在存在安全漏洞的系统上执行任意代码。

有关该漏洞的更多信息可以从下面的链接中找到：

Microsoft Security Bulletin MS03-007

另外，该病毒还会在下面的拥有完全访问权限的网络共享中生成并执行自己的拷贝：

admin$

c$

d$

e$

print$

它可以进行IPC弱口令猜测，可能的用户名、密码组合为：

用户名:

Admin

student

teacher

database

mysql

OWNER

computer

admins

owner

wwwadmin

Inviter

Guest

Owner

administrador

Administrat

Standard

Convidado

Default

administrator

admin

kanri-sha

kanri

Ospite

Verwalter

Administrador

Coordinatore

Administrateur

Administrator

密码:

mypass

poiuytrewq

zxcvbnm

admin123

qwerty

red123

passWord123

abc123

qwertyuiop

secrets

homework

werty

mybox

school

metal

pussy

vagina

mybaby

asdfghjkl

xxyyzz

test123

changeme

penis

supersecret

superman

Login

secret

Foobar

patrick

alpha

123abc

1234qwer

123123

121212

111111

enable

godblessyou

ihavenopass

123asd

super

Internet

123qwe

sybase

Oracle

passwd

88888888

11111111

00000000

000000

54321

654321

123456789

12345678

1234567

123456

12345

Password

password

此用户名密码词典长度较长，限于篇幅不全部列举，因此建议用户最好将密码设置越复杂越好。

后门功能 ：

该病毒拥有后门程序功能，它允许远程用户获取访问受感染系统的权限。

它连接到一个Internet Relay Chat (IRC)频道，并成为一种bot，等待来自恶意用户的下面命令：

发送如下的系统信息：

CPU 速度

内存大小

Windows 平台, 版本号和产品 ID

病毒正常运行时间

当前登陆的用户

使共享网络失效

结束恶意程序

通过 DNS 解析 IP 和主机名

获取病毒状态

执行 .EXE 文件

打开文件

对 DNS 缓冲区进行洪水攻击

使 DCOM 失效/ 使共享失效

对 IRC 服务器断开/重新连接

改变 IRC 服务器

加入一个通道

离开一个通道

通过 IRC 发送私人信息

通过 HTTP 或 FTP 更新病毒

从 HTTP 或 FTP 服务器下载并执行一个文件

重启电脑

关闭电脑

使当前用户退出登陆

对正在运行的所有进程列表

对目标机器执行下面的洪水攻击:

ICMP Flood 攻击

UDP Flood 攻击

SYN Flood 攻击

HTTP Flood 攻击

信息盗取：

它能够盗取用户系统信息，包括：

一些软件的CDKEY，序列号，ID，如：

病毒运行后症状：

它能够终止大量计算机防护软件的运行，如：

rapapp.EXE

pcscan.EXE

pccwin97.EXE

lockdown2000.EXE

fsma32.EXE

defscangui.EXE

blackd.EXE

avkservice.EXE

apvxdwin.EXE

...

注: ％SYSDIR％ 是可变的WINDOWS系统文件夹，默认为：

C:\Windows\System (Windows 95/98/Me),

C:\Winnt\System32 (Windows NT/2000), 或 C:\Windows\System32 (Windows XP)、

％CURFILE％ 指的是病毒的当前文件名

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2003-12-24