Backdoor/Agobot.3.ef

病毒长度：207872 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me

Backdoor/Agobot.3.ef是一个网络蠕虫，通过开放的网络共享机系统漏洞进行传播。此外还作为后门攻击其它的计算机，并企图终止反病毒软件和安全程序。

利用的微软漏洞包括：

MS03-026：DCOM RPC漏洞

MS03-007：WebDav漏洞

MS03-049：Workstation service缓冲区溢出漏洞

MS04-011：LSASS漏洞

MS01-059：UPnP漏洞

MS02-061：Microsoft SQL Server 2000和MSDE 2000审计漏洞

传播过程及特征：

1.复制自身为：%System%lrbz32.exe

2.修改注册表：

添加键值："MS Config v13"="lrbz32.exe"

到注册表：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

3.删除与一些蠕虫有关联的文件和添加修改的注册表键值，并结束下列进程：

winhlpp32.exe

tftpd.exe

dllhost.exe

winppr32.exe

mspatch.exe

penis32.exe

msblast.exe

4.连接一个远程IRC服务器，在此等待攻击者发出的指令：

运行命令

通过FTP和HTTP搜索文件

在注册表中搜索数据

重起计算机

列出进程表

结束特定的进程

终止系统服务

发动HTTP flood、ICMP flood、SYN flood、UDP flood攻击

搜索存储在计算机上的邮件地址

通过HTTP搜索邮件地址

运行假设的URL

吸收HTTP，FTP，IRC流量

盗取Windows生产ID号及各种游戏的CD Key

发出垃圾信使服务信息

5.利用内置的用户名和密码连接到下列共享网络：

/admin$

/c$

/d$

/e$

/print$

/c

并复制自身到共享目录下，远程控制蠕虫运行的时间。