近期谨防“高波”病毒及其变种

一斛酒

    国家计算机病毒应急处理中心近期接到的用户报告中，“高波”病毒及其变种的感染数量出现了明显上升趋势，计算机用户要谨防。
    据了解，该病毒及其变种利用微软在去年公布的两个漏洞进行传播，病毒运行后会生成病毒文件，修改注册表，终止一些防病毒软件和防火墙的运
行。另外，病毒可通过mIRC和局域网共享进行传播。并具有后门功能。
    病毒名称：“高波”(Worm_Agobot)
    病毒种类：蠕虫
    影响系统：Windows95982000NTMeXPServer2003
    病毒特征：
    病毒的传播通常会利用微软下述两个漏洞：DCOM RPC漏洞（MS03-026），有关该漏洞的详细请参见网址 http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx 。RPC locator漏洞（MS03-001），有关该漏洞的详细请参见网址 http://www.microsoft.com/technet/security/bulletin/MS03-001.mspx 。
    该病毒及其变种运行后通常会在%system%目录下生成病毒文件（其中，%System%在Windows95/98/Me 下为C:WindowsSystem，在Windows NT/2000下为C:WinntSystem32，在Windows XP下为 C:WindowsSystem32），并修改注册表使得病毒能随系统启动而自动运行。病毒会在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下创建与生成的病毒文件相关的注册表键值。
    病毒可以通过mIRC进行传播，并可以操纵被感染机器向在同一个IRC服务器上的其他机器发动DDoS攻击。病毒还可以通过局域网共享进行传播，进行弱口令攻击。并在找到的共享区域生成病毒自身的拷贝。
    病毒还可以作为后门程序的服务器端，允许远程用户通过客户端软件控制被感染的计算机。
    病毒会终止一些防病毒软件和防火墙的进程，使得计算机失去基本的病毒防护。
    处理该病毒及其变种的一些建议：
    １、修补相关漏洞，升级杀毒软件对系统进行全面的病毒清除。
    ２、在病毒清除的过程中，应保证全网内同步进行。
    ３、由于该病毒有弱密码攻击的功能，所以网络共享应设置密码，并且密码应为８位以上的复杂密码，以切断病毒通过网络共享传播的途径。