English Japanese Korea
FortiProtect >>> Encyclopedia >>> 病毒资料
  
深度分析
W32/Agobot.OY-net
概    述
病毒描述
最后更新:*
Dec 16 2004
捕获时间:*
Dec 16 2004
FortiGate能检测到的
病毒库版本*
FOS/V2.36: 4.529
FOS/V2.50: 4.529
FOS/V2.80: 4.529
病毒特点
威胁程度:* 1 2 3 4 5
病毒长度:* 49,238
病毒类型:* Worm
受影响系统*
TCP系统服务漏洞
MS-Windows
其它名称*
Backdoor.Win32.SdBot.gen [KAV],
W32/Sdbot.worm.gen.k [McAfee]
 
 


表现特征
  • 感染系统响应变慢
  • 在 System32 目录下创建 "et3rd.exe" 文件
  • 防火墙可能会警告 "et3rd.exe" 试图访问 Internet TCP 端口 113[IDENT 服务]以及 6667[IRC 聊天客户端]
 
攻击分析

这是一个32位的病毒,打包后大小为 49,238 字节长度。病毒会连接 IRC 服务并且等待恶意用户的指令。

IRC 连接
当病毒运行后,将会通过 DNS 获取 'uld3r.q8hell.org' 的 IP 地址。该 IP 通常为 -
 

69.64.34.124
 

当连接后(使用 TCP 端口 6667),病毒会等待恶意用户指令。部分指令列表如下 -


Ping
redirect
download
clone
syn
update

 

跟随 Windows 启动
当病毒在目标主机运行后,将会把自己写入注册表的自动加载项 -

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"dfe CTRLx Shift" = et3rd.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
"dfe CTRLx Shift" = et3rd.exe

 

其他
病毒包含如下信息,但从不显示 -

sdbot 0.5b with SYN flood by [sd]
 
处理方式
用Web界面检查ForiGate的病毒库是否最新病毒库,更新到最新病毒库,如有必要请使用"Allow Push Update"选项。


 
 
网站指南  |  法律声明

     版权所有© 2003 美国飞塔有限公司