WORM_AGOBOT.ASW 资料
这是一个驻留内存的蠕虫。感染系统后,将自身以WIINSVC.EXE 拷贝到Windows 系统文件夹(安装在C盘的 WIN2000系统:病毒文件在c:\winnt\system32\文件夹;安装在C盘的XP系统,病毒文件在c:\windows\system32\文件夹)。
病毒创建下列注册表项,实现系统启动时自动加载执行病毒文件:
1、在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run分支下添加:
Windows Database = "wiinsvc.exe"
2、在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices分支下添加:
Windows Database = "wiinsvc.exe"
网络传播:
此蠕虫通过网络共享使用 NetBEUI functions传播。试图将病毒文件的一个拷贝释放到下列共享文件夹:
ADMIN$
C$
D$
E$
PRINT$
PRINTERS$
SHAREDDOCS$
蠕虫文件一旦拷贝到上述文件夹中,即可作为一个服务被远程执行。
此蠕虫还利用 Windows 系统的下列漏洞通过网络传播:
RPC/DCOM 漏洞
LSASS 漏洞
上述漏洞的详细信息可参阅微软网页上的下列文件:
Microsoft Security Bulletin MS03-026
Microsoft Security Bulletin MS04-011
此蠕虫有后门功能
此蠕虫盗窃 Windows 的产品 ID 以及下列流行游戏光盘的ID:
Battlefield 1942
Battlefield 1942 Secret Weapons Of WWII
Battlefield 1942 The Road To Rome
Battlefield 1942 Vietnam
Black and White
Command and Conquer Generals
Command and Conquer Generals Zero Hour
Command and Conquer Red Alert2
Command and Conquer Tiberian Sun
Counter-Strike
FIFA 2002
FIFA 2003
Freedom Force
Global Operations
Gunman Chronicles
Half-Life
Hidden and Dangerous 2
IGI2 Covert Strike
Industry Giant 2
James Bond 007 Nightfire
Medal of Honor Allied Assault
Medal of Honor Allied Assault Breakthrough
Medal of Honor Allied Assault Spearhead
NHL 2002
NHL 2003
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Need For Speed Underground
Neverwinter Nights
Ravenshield
Shogun Total War Warlord Edition
Soldier Of Fortune 2
Soldiers Of Anarchy
The Gladiators
Unreal Tournament 2003
Unreal Tournament 2004
Windows Product ID
