Backdoor.Agobot.3.ap_病毒数据库

病毒名称: Backdoor.Agobot.3.ap 类别：后门病毒病毒资料：      破坏方法：

    木马病毒

    网络传播：

    该病毒利用在 windows 2000 和 XP 系统上的 Remote Procedure Call
    (RPC) Distributed Component
    Object Model (DCOM) 漏洞。

    该漏洞允许攻击者获得在目标机器上完全的访问权限和执行代码权利。

    通过对随机的 TCP/IP 地址的135端口的进行扫描，找到网络中存在安全漏洞的系统。

    有关该漏洞的更多信息可以从下面的链接中找到：

    Microsoft Security Bulletin MS03-026

    该病毒还会利用 Windows NT, 2000, 和 XP 系统上的 RPC locator安全漏洞。它对随机的 TCP/IP 地址的445端口进行扫描，找到网络中存在安全漏洞的机器有关该漏洞的更多信息可以从下面的微软网页中找到：

    Microsoft Security Bulletin MS03-001

    除了这些漏洞，该病毒还会利用 IIS 5.0/WebDav 中的 Buffer Overrun 漏洞，它将影响 Windows NT 系统。这使得攻击者可以在存在安全漏洞的系统上执行任意代码。

    有关该漏洞的更多信息可以从下面的链接中找到：

    Microsoft Security Bulletin MS03-007

    另外，该病毒还会在下面的拥有完全访问权限的网络共享中生成并执行自己的拷贝：

    admin$
    c$
    d$
    e$
    print$

    它可以进行IPC弱口令猜测，可能的用户名、密码组合为：

    用户名:

    Admin
    student
    teacher
    database
    mysql
    OWNER
    computer
    admins
    owner
    wwwadmin
    Inviter
    Guest

    Owner
    administrador
    Administrat
    Standard
    Convidado
    Default
    administrator
    admin
    kanri-sha
    kanri
    Ospite
    Verwalter
    Administrador
    Coordinatore
    Administrateur
    Administrator

    密码:

    mypass
    poiuytrewq
    zxcvbnm
    admin123
    qwerty
    red123
    passWord123
    abc123
    qwertyuiop
    secrets
    homework
    werty
    mybox
    school
    metal
    pussy
    vagina
    mybaby
    asdfghjkl
    xxyyzz
    test123
    changeme
    penis
    supersecret
    superman
    Login
    secret
    Foobar
    patrick
    alpha
    123abc
    1234qwer
    123123
    121212
    111111
    enable
    godblessyou
    ihavenopass
    123asd
    super
    Internet
    123qwe
    sybase
    Oracle
    passwd
    88888888
    11111111
    00000000
    000000
    54321
    654321
    123456789
    12345678

    1234567
    123456
    12345
    Password
    password

    此用户名密码词典长度较长，限于篇幅不全部列举，因此建议用户最好将密码设置越复杂越好。

    后门功能：

    该病毒拥有后门程序功能，它允许远程用户获取访问受感染系统的权限。

    它连接到一个Internet Relay Chat (IRC)频道，并成为一种bot，等待来自恶意用户的下面命令：

    发送如下的系统信息：

    CPU 速度
    内存大小
    Windows 平台, 版本号和产品 ID
    病毒正常运行时间
    当前登陆的用户
    使共享网络失效
    结束恶意程序
    通过 DNS 解析 IP 和主机名
    获取病毒状态
    执行 .EXE 文件
    打开文件
    对 DNS 缓冲区进行洪水攻击
    使 DCOM 失效/ 使共享失效
    对 IRC 服务器断开/重新连接
    改变 IRC 服务器
    加入一个通道
    离开一个通道
    通过 IRC 发送私人信息
    通过 HTTP 或 FTP 更新病毒
    从 HTTP 或 FTP 服务器下载并执行一个文件
    重启电脑
    关闭电脑
    使当前用户退出登陆
    对正在运行的所有进程列表

    对目标机器执行下面的洪水攻击:

    ICMP Flood 攻击
    UDP Flood 攻击
    SYN Flood 攻击
    HTTP Flood 攻击

    信息盗取：

    它能够盗取用户系统信息，包括：

    一些软件的CDKEY，序列号，ID，如：

    BF1942 CDKey
    BF1942 RtR CDKey
    BF1942 SWoWWII CDKey
    Chrome CDKey
    Command & Conquer Generals CDKey
    Counter-Strike CDKey
    FIFA 2002 CDKey
    FIFA 2003 CDKey
    Half-Life CDKey

    Hidden and Dangerous 2 CDKey
    LoMaM CDKey
    NFSHP2 CDKey
    NHL 2002 CDKey
    NHL 2003 CDKey
    NOX CDKey
    NWN CDKey
    Nascar 2002 CDKey
    Nascar 2003 CDKey
    Project IGI 2 CDKey
    Red Alert 2 CDKey
    Red Alert CDKey
    SOF2 CDKey
    The Gladiators CDKey
    Tiberian Sun CDKey
    UT2003 CDKey
    Windows ProdUCt ID
    等等

    病毒运行后症状：

    它能够终止大量计算机防护软件的运行，如：

    zonealarm.EXE
    zapro.EXE
    vsmon.EXE
    vshwin32.EXE
    vbcmserv.EXE
    sbserv.EXE
    rtvscan.EXE
    rapapp.EXE
    pcscan.EXE
    pccwin97.EXE
    pccntmon.EXE
    pavproxy.EXE
    nvsvc32.EXE
    ntrtscan.EXE
    npscheck.EXE
    notstart.EXE
    lockdown2000.EXE
    iams
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ：      Windows下的PE病毒。
发现日期： 2003-12-12