Backdoor.Agobot.3.bb.enc_病毒数据库

病毒名称: Backdoor.Agobot.3.bb.enc 类别：后门病毒病毒资料：      破坏方法：

    如果用户感染此病毒，建议首先断开网络，检查系统所有用户密码是否为空或太简单，打最新的补丁，然后全盘杀毒

    该病毒拷贝自身到系统目录 ntdom.exe，开辟将近50个线程，疯狂地试探网络的IP地址，连接135和445端口。

    寻找irc服务器，利用其漏洞进行传播。病毒消耗大量系统资源和网络资源。

    一、试图连接下列IRC服务器，利用漏洞攻击进去。

    irc.at-host.net
    ircd.at-host.net

    二、修改注册表，实现自启动，创建服务进程。用户可以手工清除。

    1
    HKEY_LOCAL_MACHINE\Software\Microsoft
    \Windows\Currentversion\Run
    "Configuration Loader" : NTDOM.EXE

    2
    HKEY_LOCAL_MACHINE\Software\Microsoft
    \Windows\Currentversion\RunServices
    "Configuration Loader" : NTDOM.EXE

    3
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Services\a3
    (服务名)Configuration Loader :
    (程序路径)"％SYSTEM％\NTDOM.EXE" -SERVICE

    三、枚举网络上所有主机，创建一个相应线程进行连接测试，发现具有IPC漏洞的机器，拷贝自身过去，并创建服务进程。

    四、偷用户机器上的“红色警报”、“极品发车”等诸多流行的正版游戏的CD Key。

    Nascar 2002
    NHL 2003
    NHL 2002
    FIFA 2003
    FIFA 2002
    NFSHP2
    The Gladiators
    UT2003
    LoMaM
    Counter-Strike
    Half-Life

    ......

    五、病毒终止下列进程，这些进程是病毒程序。

    winhlpp32.exe
    tFTPd.exe
    dllhost.exe
    winppr32.exe
    mspatch.exe
    penis32.exe
    msblast.exe

    六、如果用户感染此病毒，建议首先断开网络，检查系统所有用户密码是否为空或太简单，打最新的补丁，然后全盘杀毒。

    病毒采用下列字符串进行 IPC 连接密码测试

    mypass
    poiuytrewq
    zxcvbnm
    admin123
    qwerty
    red123
    passWord123
    abc123
    qwertyuiop
    secrets
    homework
    werty
    mybox
    school
    metal
    pussy
    vagina
    mybaby
    asdfghjkl
    xxyyzz
    private
    test123
    changeme
    penis
    supersecret
    superman
    Login
    secret
    Foobar
    patrick
    alpha
    123abc
    1234qwer
    123123
    121212
    111111
    enable
    godblessyou
    ihavenopass
    123asd
    super
    Internet
    123qwe
    sybase
    Oracle
    passwd
    88888888
    11111111
    00000000
    000000
    54321
    654321
    123456789

    12345678
    1234567
    123456
    12345
    Password
    password
    Admin
    student
    teacher
    database
    mysql
    OWNER
    computer
    admins
    owner
    wwwadmin
    Inviter
    Guest
    server
    Owner
    administrador
    Administrat
    Standard
    Convidado
    Default
    administrator
    admin
    kanri-sha
    kanri
    Ospite
    Verwalter
    Administrador
    Coordinatore
    Administrateur
    Administrator

    七、病毒枚举系统进程，发现有下列进程，则将其终止。

    FSAV.EXE
    FRW.EXE
    FPROT.EXE
    FP-WIN_TRIAL.EXE
    FP-WIN.EXE
    FLOWPROTECTOR.EXE
    FIREWALL.EXE
    FINDVIRU.EXE
    FAST.EXE
    F-STOPW.EXE
    F-PROT95.EXE
    F-PROT.EXE
    F-AGNT95.EXE
    EXPERT.EXE
    EXE.AVXW.EXE
    EXANTIVIRUS-CNET.EXE
    EVPN.EXE
    ETRUSTCIPE.EXE
    ESPWATCH.EXE
    ESCANV95.EXE
    ESCANHNT.EXE
    ESCANH95.EXE
    ESAFE.EXE
    ENT.EXE
    EFPEADM.EXE
    ECENGINE.EXE
    DVP95_0.EXE
    DVP95.EXE
    DRWEB32.EXE
    DRWATSON.EXE
    DPFSETUP.EXE
    DPF.EXE
    DOORS.EXE
    DEPUTY.EXE

    DEFWATCH.EXE
    Claw95cf.EXE
    Claw95.EXE
    CWNTDWMO.EXE
    CWNB181.EXE
    CV.EXE
    CTRL.EXE
    CPFNT206.EXE
    CPF9X206.EXE
    CPD.EXE
    CONNECTIONMONITOR.EXE
    CMON016.EXE
    CMGRDIAN.EXE
    CLEANPC.EXE
    CLEANER3.EXE
    CLEANER.EXE
    CLEAN.EXE
    CLAW95CF.EXE
    CFINET32.EXE
    CFINET.EXE
    CFIAUDIT.EXE
    CFIADMIN.EXE
    CFGWIZ.EXE
    CDP.EXE
    BlackICE.EXE
    BS120.EXE
    BORG2.EXE
    BOOTWARN.EXE
    BLACKICE.EXE
    BLACKD.EXE
    BISP.EXE
    BIPCPEVALSETUP.EXE
    BIPCP.EXE
    BIDSERVER.EXE
    BIDEF.EXE
    BD_PROFESSIONAL.EXE
    Avsched32.EXE
    AvkServ.EXE
    Avgctrl.EXE
    AvgServ.EXE
    AvSynMgr.AVSYNMGR.EXE
    AutoTrace.EXE
    AckWin32.EXE
    AVXQUAR.EXE
    AVXMONITORNT.EXE
    AVXMONITOR9X.
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ：      Windows下的PE病毒。
发现日期： 2003-12-15