基本介紹
- 外文名:Backdoor/Agobot.3.ef
- 影響平台::Win9X/2000/XP/NT/Me
- 危害等級::**
- 病毒類型::網路蠕蟲
Backdoor/Agobot.3.ef
病毒長度:207872 位元組
利用的微軟漏洞包括:
MS03-026:DCOM RPC漏洞
MS03-007:WebDav漏洞
MS03-049:Workstation service緩衝區溢出漏洞
MS04-011:LSASS漏洞
MS01-059:UPnP漏洞
MS02-061:Microsoft SQL Server 2000和MSDE 2000審計漏洞
傳播過程及特徵:
1.複製自身為:%System%lrbz32.exe
2.修改註冊表:
添加鍵值:"MS Config v13"="lrbz32.exe"
到註冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
winhlpp32.exe
tftpd.exe
dllhost.exe
winppr32.exe
mspatch.exe
penis32.exe
msblast.exe
4.連線一個遠程IRC伺服器,在此等待攻擊者發出的指令:
通過FTP和HTTP搜尋檔案
在註冊表中搜尋數據
重起計算機
列出進程表
結束特定的進程
終止系統服務
發動HTTP flood、ICMP flood、SYN flood、UDP flood攻擊
搜尋存儲在計算機上的郵件地址
通過HTTP搜尋郵件地址
運行假設的URL
吸收HTTP,FTP,IRC流量
盜取Windows生產ID號及各種遊戲的CD Key
發出垃圾信使服務信息
5.利用內置的用戶名和密碼連線到下列共享網路:
/admin$
/c$
/d$
/e$
/print$
/c
並複製自身到已分享資料夾下,遠程控制蠕蟲運行的時間。
