backdoor.agobot.5.gen
2017-11-30 来源:
病毒名称:
backdoor.agobot.5.gen
类别:后门病毒
病毒资料:
破坏方法:
"高波"病毒变种。
将自己复制到系统目录,文件名为lsas.exe,修改注册表
HLM\software\microsoft\windows\currentversion\run
和HLM\software\microsoft\windows\currentversion\runservice,是他能够开机自启动。
注册成服务,使得进程难以被结束。
运行命令将本地驱动器都设共享。
搜索本地局域网的机器,通过RPC DCOM漏洞(135号端口)和RPC Locator(445号端口)进行传播。
驻留内存,枚举进程,可结束多种反毒进程。
_AVPM.EXE,_AVPCC.EXE,_AVP32.EXE,ZONEALARM.EXE,ZONALM2601.EXE,ZATUTOR.EXE,
ZAPSETUP3001.EXE,ZAPRO.EXE,XPF202EN.EXE,WYVERNWORKSFIREWALL.EXE,WUPDT.EXE,
WUPDATER.EXE, WSBGATE.EXE,WRCTRL.EXE,WRADMIN.EXE,WNT.EXE,WNAD.EXE.....
获取本地EA游戏密码。连接远程网站,发送本地信息。
尝试通过一下密码连接远程共享目录
mypass,mypc,love,poiuytrewq,zxcvbnm,admin123,qwerty,red123,passWord123,abc123,
qwertyuiop,secrets,homework,porn,baby,werty,mybox,school,work,metal,leet,
pussy,vagina,mybaby.......
不停地开启线程,严重消耗CPU资源。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-3-9
"高波"病毒变种。
将自己复制到系统目录,文件名为lsas.exe,修改注册表
HLM\software\microsoft\windows\currentversion\run
和HLM\software\microsoft\windows\currentversion\runservice,是他能够开机自启动。
注册成服务,使得进程难以被结束。
运行命令将本地驱动器都设共享。
搜索本地局域网的机器,通过RPC DCOM漏洞(135号端口)和RPC Locator(445号端口)进行传播。
驻留内存,枚举进程,可结束多种反毒进程。
_AVPM.EXE,_AVPCC.EXE,_AVP32.EXE,ZONEALARM.EXE,ZONALM2601.EXE,ZATUTOR.EXE,
ZAPSETUP3001.EXE,ZAPRO.EXE,XPF202EN.EXE,WYVERNWORKSFIREWALL.EXE,WUPDT.EXE,
WUPDATER.EXE, WSBGATE.EXE,WRCTRL.EXE,WRADMIN.EXE,WNT.EXE,WNAD.EXE.....
获取本地EA游戏密码。连接远程网站,发送本地信息。
尝试通过一下密码连接远程共享目录
mypass,mypc,love,poiuytrewq,zxcvbnm,admin123,qwerty,red123,passWord123,abc123,
qwertyuiop,secrets,homework,porn,baby,werty,mybox,school,work,metal,leet,
pussy,vagina,mybaby.......
不停地开启线程,严重消耗CPU资源。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-3-9
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
上一篇:从零开始为您的电脑系统做漏洞自检
下一篇:DOS.JeruAuro
最新资讯
热门推荐