Worm.Agobot.r
2008-02-23 09:19:55来源:互联网 阅读 ()
病毒名称:
Worm.Agobot.r
类别: 蠕虫病毒
病毒资料:
破坏方法:
利用微软漏洞和弱口令猜测传播的蠕虫病毒采用MS VC 6.0编写,UPX压缩,是通过网络共享弱口令猜测和微软漏洞传播的蠕虫病毒利用的漏洞有:
1. RPC DCOM漏洞, 端口:135
2. RPC locator漏洞 端口:445
病毒一旦执行,将执行下列操作:
1.复制自身到如下目录:
%SYSDIR%\SVCHOS1.EXE
%SYSDIR%\RPCFIX.EXE
并修改注册表以使自己随系统启动启动
2.病毒打开一个随机的端口连接到其master
3.自动连接到一个预定义的IRC服务器的一个channel,使用这个channel监听来自其master的指令,其指令可能为:
Manage the installation of the worm
Dynamically update the installed worm
Download and execute files
Steal the compromised system's information
Send the worm to other IRC users
Add accounts for the hacker
4.打开并监听22227端口,用来给其它机器提供病毒体下载;
5.探测RPC DCOM和RPC locator漏洞
6.使用下列用户/密码组合来猜测共享:
54321
654321
123456789
12345678
1234567
123456
12345
1234
PassWord
password
Admin
qwer
asdf
temp
test
home
Dell
Inviter
...
...
...
...
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run
"MS Config Loader" = SVCHOSl.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices
"MS Config Loader" = SVCHOSl.EXE
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2003-9-3
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:Win32.BinLaden
下一篇:Worm.PMaster.b
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
