Win32.Hack.Agobot.af

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

黑客程序

病毒长度:

183296

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒是一个供黑客远程控制的后门病毒。该病毒运行时，首先拷贝自身到%windows%\sysrs.exe，然后添加注册表启动项，使自身能随开机启动。该病毒使黑客通过IRC聊天室向病毒发送命令来控制用户的主机，使用户沦为“肉鸡”，该病毒会发出udp，icmp等协议的洪水攻击。

1，生成文件

%windows%\sysrs.exe

2，添加注册表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVCModule

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVCModule

"ImagePath"="%windows%\sysrs.exe"

3，自我保护

如发现自身在虚拟机里，将不发作，并删除病毒体。

通过以下注册表信息判定是否在虚拟机里

HKLM\SOFTWARE\VMware,Inc.\VMwareTools

"InstallPath"

HKLM\SOFTWARE\VMware,Inc.\VMwareTools

"ShowTray"

4，IRC聊天室控制命令

Botsniff

IRCsniff

FTPsniff

ackflood

icmpflood

synflood

phatwonk

udpflood

kill

login

logout

等