Worm.Agobot.3.sj

病毒名称:

Worm.Agobot.3.sj

类别： 普通文件病毒

病毒资料：

破坏方法：

Agobot病毒变种。

主动监测系统是否存在一些侦查软件，如果存在则退出，防止病毒被反编译或跟踪。

将自己拷贝到系统目录下，文件名为WINL0G0N.exe，并修改注册表：

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Windows NT Update Manager : WINL0G0N.exe

HKLM\Software\Microsoft\Windows\CurrentVersion

\RunServices

Windows NT Update Manager : WINL0G0N.exe

这样病毒能随开机而启动。

连接IRC服务器特定频道，接受黑客控制。接受黑客的命令在本地执行，并将结果发回IRC频道。

枚举局域网机器，通过猜测局域网共享弱口令和使用漏洞传播自身。传染性强，且占用大量网络资源。

结束下列进程，大多数为反毒和防火墙程序：

AVPM.EXE，

_AVPCC.EXE，

_AVP32.EXE，

ZONEALARM.EXE，

ZONALM2601.EXE，

ZATUTOR.EXE，

ZAPSETUP3001.EXE，

ZAPRO.EXE，

XPF202EN.EXE，

WYVERNWORKSFIREWALL.EXE，

WUPDT.EXE，WUPDATER.EXE，

WSBGATE.EXE，

WRCTRL.EXE，WRADMIN.EXE，

WNT.EXE，WNAD.EXE，

WKUFIND.EXE，

WINUPDATE.EXE，

WINTSK32.EXE，

WINSTART001.EXE，

WINSTART.EXE，

WINSSK32.EXE，

WINSERVN.EXE，

WINRECON.EXE，

WINPPR32.EXE，

WINNET.EXE，

WINMAIN.EXE，

WINLOGIN.EXE，

WININITX.EXE，

WININIT.EXE，

WININETD.EXE，

WINDOWS.EXE，

WINDOW.EXE，

WINACTIVE.EXE，

WIN32US.EXE，

WIN32.EXE，

WIN-BUGSFIX.EXE，

WIMMUN32.EXE，

WHOSWATCHINGME.EXE，

WGFE95.EXE，

WFINDV32.EXE，

WEBTRAP.EXE，

WEBSCANX.EXE，

WEBDAV.EXE....

对一些特定网站发起DoS攻击，病毒传播越广，网站受到的攻击越多。

修改TCP/IP配置文件，屏蔽多款杀毒软件的升级网址和网站地址。

试图盗取多款著名游戏的序列号。

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2003-11-10