北京信息安全测评中心、金山毒霸 联合发布2004年2月11日热门病毒

　　据金山毒霸反病毒实验室介绍，今日提醒用户注意以下病毒：

　　“安哥III”（Win32.Hack.Agobot3.cp），蠕虫病毒。该蠕虫病毒感染系统后，会在本机开启后门供黑客使用；会尝试攻击没修补RPC漏洞的系统，并传播自己；会使用弱口令攻击局域网中的系统，成功后上传病毒；会通过注册表信息盗取正版游戏的的CD-KEY；还会中止常用反病毒软件、网络防火墙软件。一旦被其感染，将会造成用户的间接经济损失，并使系统性能下降或极不稳定。以下是该病毒的详情：

　　病毒信息：

　　病毒名称: Win32.Hack.Agobot3.cp
　　威胁级别: 2C
　　中文名称: 安哥III
　　受影响系统: WinNT/Win2000/WinXP/Win2003

　　技术特点：

　　·自我复制到系统目录，复本的名字是变动的，通常使用系统文件的名字，如：
　　　 Csrrs.exe, Scvhost.exe 和 System.exe；

　　·添加以下键值
　　　"<键名>" = "<蠕虫复本的名字>"
　　　比如："Configuration Loader" = "Service.exe" 到
　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
　　　以便蠕虫可随机启动；

　　·连接IRC服务器，使用自身的IRC客服端，向黑客发出在线指令，等待黑客的控制命令；

　　·向TCP端口135发送攻击数据，尝试攻击没修补RPC漏洞的系统，并传播自己；

　　·使用弱口令攻击局域网中的系统，成功后上传病毒；

　　·通过注册表信息盗取正版游戏的的CD-KEY；

　　·中止常用反病毒软件、网络防火墙软件。

　　解决方案:

　　· 请升级毒霸到2004年02月12日的病毒库可完全处理该病毒；

　　· 请升级你的系统，打上RPC和WebDav漏洞补丁；

　　· 该病毒使用随程序名，不易手工清除，请使用最新病毒库的金山毒霸来处理。如没有安装金山
　　　 毒霸，可以登录http://online.kingsoft.net使用金山毒霸的在线查毒或是金山毒霸下载版来
　　　 防止该病毒的侵入严防该病毒的入侵.