病毒名称: Hack.Agobot3.aw

　　中文名称: 安哥

　　威胁级别: 3A

　　病毒别名:“高波变种3T”(Worm.Agobot.3.t) [瑞星]

　　 Backdoor.Agobot.03.aw [AVP]

　　病毒类型: 黑客、蠕虫

　　受影响系统: WinNT/Win2K/WinXP/Win2003

　　
该病毒兼具黑客和蠕虫的功能，利用IRC软件开启后门，等待黑客控制。使用RPC漏洞和WebDAV漏洞进行高速传播。猜测弱口令重点攻击局域网，造成局域网瘫痪。

　　
金山毒霸已于11月27日进行了应急处理，并在当天升级了病毒库。升级到11月27日的病毒库可完全处理该病毒及其变种。

　　
技术细节

　　
1、利用利用RPC DCOM漏洞和WebDAV漏洞在网络中高速传播；

　　 2、使用内部包含的超大型“Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码表”猜口令的方式攻击局域网中的计算机，感染整个局域网，造成网络瘫痪；

　　 3、系统修改:

　　 A.将自身复制为%System%\scvhost.exe.

　　 B.在注册表的主键:

　　 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　 中添加如下键值:

　　 "servicehost"="Scvhost.exe"

　　 C.在注册表的主键:

　　 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicces

　　 中添加如下键值:

　　 "servicehost"="Scvhost.exe"

　　 4、中止许多知名反病毒软件和网络安全软件；

　　 5、利用IRC软件开启后门；

　　 6、试图偷取被感染计算机内的正版软件序列号等重要信息；

　　 7、该病毒可造成计算机不稳定，出现计算机运行速度和网络传输速度极剧下降，复制、粘贴等系统功能不可用，OFFICE和IE浏览器软件异常等现象。

　　
解决方案

　　
A、升级金山毒霸病毒库到11月27日的版本或下载“安哥”专杀工具，可完全处理该病毒；请到此链接下载专杀工具 http://www.duba.net/download/3/100.shtml

　　 B、为系统打上MS03-026 RPC DCOM漏洞补丁(823980) 和MS03-007 WebDAV漏洞补丁(815021)，并为系统管理员帐号设置一个更为强壮的密码。

　　 MS03-026 RPC DCOM漏洞补丁(823980)下载地址：

　　 http://support.microsoft.com/default.aspx?kbid=823980

　　 MS03-007 WebDAV漏洞补丁(815021）下载地址:

　　 http://support.microsoft.com/default.aspx?kbid=815021

　　 C、手工清除

　　 打开进程管理器，找到名为"scvhost.exe"的进程，并将其结束；在注册表中的项:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run[未结束]