高波变种3T(Worm.Agobot.3.T)”病毒:蠕虫病毒,通过网络传播,依赖系统: WINNT/2000/XP。
该病毒变种极多,目前已经有几十个病毒变种,但该变种是最厉害的一个,病毒运行时会扫描网络,对存在漏洞的计算机进行攻击,攻击成功后病毒还会利用大型密码字典来猜测计算机中密码,感染局域网,导致整个局域网络瘫痪。
病毒发作时会对用户计算机带来以下影响:无法正常使用OFFICE软件,无法进行复制、粘贴,注册表无法使用,系统文件无法正常显示,CPU占用率达到100、使用户计算机反应速度变慢。如果发现自己的计算机出现以上现象,则很有可能是中了该病毒,这时应该立刻断网、打补丁、杀毒,消除病毒造成的破坏。
除了上述破坏外,该病毒还会偷盗许多正版软件的序列号、杀掉几十家反病毒公司的上百种反病毒程序,给计算机用户带来严重的经济损失。
病毒资料:
"UPX压缩,VC++6.0编写,蠕虫。
一旦执行,病毒将自我复制系统文件夹.
它将创建下列注册表键值来使自己随Windows系统自启动:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Configuration Loader=""\""
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Configuration Loader=""\""
同时病毒也注册服务来自启动,服务名为:
a3
网络传播:
该病毒利用在 Windows 2000 和 XP 系统上的 Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) 漏洞。该漏洞允许攻击者获得在目标机器上完全的访问权限和执行代码权利。
通过对随机的 TCP/IP 地址的135端口的进行扫描,找到网络中存在安全漏洞的系统。
有关该漏洞的更多信息可以从下面的链接中找到:
Microsoft Security Bulletin MS03-026
http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp
该病毒还会利用 Windows NT, 2000, 和 XP 系统上的 RPC locator安全漏洞。它对随机的 TCP/IP 地址的445端口进行扫描,找到网络中存在安全漏洞的机器
有关该漏洞的更多信息可以从下面的微软网页中找到:
Microsoft Security Bulletin MS03-001
http://www.microsoft.com/technet/security/bulletin/ms03-001.asp
除了这些漏洞,该病毒还会利用 IIS 5.0/WebDav 中的 Buffer Overrun 漏洞,它将影响 Windows NT 系统。这使得攻击者可以在存在安全漏洞的系统上执行任意代码。
有关该漏洞的更多信息可以从下面的链接中找到:
Microsoft Security Bulletin MS03-007
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-007.asp
病毒的后门功能 :
该病毒拥有后门程序功能,它允许远程用户获取访问受感染系统的权限。
它连接到一个Internet Relay Chat (IRC)频道,并成为一种bot,等待来自恶意用户的下面命令:
发送如下的系统信息:
CPU 速度
内存大小
Windows 平台, 版本号和产品 ID
病毒正常运行时间
当前登陆的用户
使共享网络失效
结束恶意程序
通过 DNS 解析 IP 和主机名
获取病毒状态
执行 .EXE 文件
打开文件
对 DNS 缓冲区进行洪发
使 DCOM 失效/ 使共享失效
对 IRC 服务器断开/重新连接
改变 IRC 服务器
加入一个通道
离开一个通道
通过 IRC 发送私人信息
通过 HTTP 或 FTP 更新病毒
从 HTTP 或 FTP 服务器下载并执行一个文件
重启电脑
关闭电脑
使当前用户退出登陆
对正在运行的所有进程列表
对目标机器执行下面的洪发攻击:
ICMP Flood 攻击
UDP Flood 攻击
SYN Flood 攻击
HTTP Flood 攻击
信息盗取:
它能够盗取用户系统信息,包括:
一些软件的CDKEY,序列号,ID,如:
BF1942 CDKey
BF1942 RtR CDKey
BF1942 SWoWWII CDKey
Chrome CDKey
Command & Conquer Generals CDKey
Counter-Strike CDKey
FIFA 2002 CDKey
FIFA 2003 CDKey
Half-Life CDKey
Hidden and Dangerous 2 CDKey
LoMaM CDKey
NFSHP2 CDKey
NHL 2002 CDKey
NHL 2003 CDKey
NOX CDKey
NWN CDKey
Nascar 2002 CDKey
Nascar 2003 CDKey
Project IGI 2 CDKey
Red Alert 2 CDKey
Red Alert CDKey
SOF2 CDKey
The Gladiators CDKey
Tiberian Sun CDKey
UT2003 CDKey
Windows Product ID
等等
病毒运行后症状:
它能够终止大量计算机防护软件的运行,如:
zonealarm.EXE
zapro.EXE
vsmon.EXE
vshwin32.EXE
vbcmserv.EXE
sbserv.EXE
rtvscan.EXE
rapapp.EXE
pcscan.EXE
pccwin97.EXE
pccntmon.EXE
pavproxy.EXE
nvsvc32.EXE
ntrtscan.EXE
npscheck.EXE
notstart.EXE
lockdown2000.EXE
iamserv.EXE
iamapp.EXE
gbpoll.EXE
gbmenu.EXE
fsmb32.EXE
fsma32.EXE
fsm32.EXE
fsgk32.EXE
fsav32.EXE
fsaa.EXE
fnrb32.EXE
fih32.EXE
fch32.EXE
fameh32.EXE
f-stopw.EXE
defscangui.EXE
defalert.EXE
cpd.EXE
cleaner3.EXE
cleaner.EXE
ccPxySvc.EXE
ccEvtMgr.EXE
ccApp.EXE
blackd.EXE
avpm.EXE
avkwctl9.EXE
avkservice.EXE
avkpop.EXE
apvxdwin.EXE
agentw.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
ZONEALARM.EXE
ZONALM2601.EXE
ZAUINST.EXE
ZATUTOR.EXE
ZAPSETUP3001.EXE
ZAPRO.EXE
XPF202EN.EXE
WrCtrl.EXE
WrAdmin.EXE
WYVERNWORKSFIREWALL.EXE
WSBGATE.EXE
WRCTRL.EXE
。。。
它还会结束下面恶意程序的进程:
winhlpp32.exe
tftpd.exe
dllhost.exe
winppr32.exe
mspatch.exe
penis32.exe
msblast.exe
