病毒简介

入侵方式

功能

传播方式

病毒简介

病毒名称：Win32.Agobot.Z

其它名称：：Backdoor.Agobot.3.p (Kaspersky),W32.HLLW.Gaobot.A

病毒属性：蠕虫病毒 危害性：低危害 流行程度：中

具体介绍：

特征：

Win32.Agobot.Z是一个IRC木马病毒，它可以使病毒控制者在未授权的情况下登录被病毒感染的电脑。同时，它还具有蠕虫病毒的功能：可以通过破解简单密码来获取管理员权限，可以通过DCOM RPC漏洞(MS03-026)来侵入电脑。这种病毒只能在基于NT技术的操作系统中运行。

入侵方式

当Agobot.Z被执行时，它会在系统目录下创建自己的备份：

%System%\\LSAS.EXE

注意：在不同的操作系统中，系统目录的名字是不同的，病毒通过查询来确定当前操作系统的系统目录位置。默认的系统目录在Windows 2000 和NT中是C:\\Winnt\\System32；

在95，98和ME中是C:\\Windows\\System；在XP中是C:\\Windows\\System32。

同时，它会在注册表中创建以下键值使病毒在系统启动时能够运行：

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Windows Explorer="LSAS.EXE"

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\Windows Explorer="LSAS.EXE"

功能

后门功能

Win32.Agobot.Z通过预先定义的列表连接IRC服务，并进入一个特殊的频道来对被感染电脑进行控制。

一旦病毒控制者得到了对方电脑的控制权，他可以利用这个病毒进行恶意破坏，例如破解简单代码获取管理员权限，利用DCOM RPC漏洞。病毒还可以进行以下操作：

从互联网上下载并执行文件

搜索系统信息，例如操作系统的详细信息

在被感染电脑上执行文件

进行域名查找

终止进程：

病毒尝试终止下列进程：

AVP32.EXE

_AVPCC.EXE

_AVPM.EXE

ACKWIN32.EXE

ANTI-TROJAN.EXE

APVXDWIN.EXE

AUTODOWN.EXE

WFINDV32.EXE

ZONEALARM.EXE

病毒还会终止其他蠕虫的进程：

MSBLAST.EXE

PENIS32.EXE

MSPATCH.EXE

WINPPR32.EXE

DLLHOST.EXE

TFTPD.EXE

传播方式

通过网络共享

当病毒通过网络共享传播时，它会使用下列用户名和密码。

用户名：

Administrator

admin

administrator

Administrateur

Default

mgmt

Standard

User

Administrador

Owner

Test

Guest

Gast

Invite

密码：

admin

Admin

password

Password

1

12

123

1234

12345

123456

1234567

12345678

123456789

654321

54321

111

000000

00000000

11111111

88888888

pass

passwd

database

abcd

如果Win32.Agobot.Z能够获取管理员权限，它就会复制自己到那台电脑上，病毒通过创建一个远程服务文件thesvc.exe或远程添加一个时间记时器的方式来启动自己的进程。

病毒可能监听任意一个端口来传输自己到远程电脑。