安哥惡性病毒突襲局域網

金山毒霸反病毒實驗室于11月27日在國內率先捕獲一個惡性混合型病毒，命名為“安哥”（Hack.Agobot03.aw 別名：“高波變種3T”）。該病毒具有遠程控制的黑客功能和利用“RPC漏洞”進行高速傳播的蠕蟲特性，因此它是一個兼據黑客木馬和蠕蟲特點混合型病毒?！鞍哺纭辈《镜倪@一特點使其具有更強的破壞力和更快的傳播速度。據了解，到現在已有多個局域網和上千用戶中招，請各位網絡用戶立即升級毒霸病毒庫11月27日版本，即可完全處理該病毒及其變種。
　　
　　據金山反病毒工程師介紹：該病毒有多個變種，多達幾十種，最初僅以黑客木馬的身份出現，直到現在更集成了蠕蟲病毒的能力，采用“沖擊波”所使用的RPC漏洞攻擊，使其傳播速度極快，造成的危害大大高出了早些時候泛濫的“沖擊波”（Worm.Msblast)病毒。此次變種病毒所攻擊的目標更著重于局域網，利用超大型的“密碼表”來攻擊局域網中的計算機，感染整個域局網，從而導致整個局域網絡癱瘓。
　　
　　該病毒發作時會造成中毒用戶的計算機出現無法進行復制、粘貼等操作，無法正常使用如OFFICE和IE瀏覽器等軟件，并且大量浪費系統資源，造成速度狂降、甚至死機的現象。病毒還會利用IRC軟件開啟后門等待遠程黑客的控制，嘗試偷取用戶使用的正版軟件的序列號等重要信息，造成直接的經濟損失。病毒為保證自己的生存期，還會中止大量的知名反病毒軟件和網絡安全軟件。
　　
　　金山毒霸反病毒工程師警告：該病毒已在網絡中大肆傳播，并且具有很強的危害性，特別是針對局域網用戶。金山毒霸已于11月27日進行了緊急升級，11月27日的病毒庫可完全清除該病毒及其變種，請各位用戶，特別是企業用戶及時升級。沒有金山毒霸的用戶請使用在線查毒和下載版來抵御該病毒的危害。

病毒名稱: Hack.Agobot3.aw
　　中文名稱: 安哥
　　威脅級別: 3A
　　病毒別名:“高波變種3T”(Worm.Agobot.3.t) [瑞星]
　　 Backdoor.Agobot.03.aw [AVP]
　　病毒類型: 黑客、蠕蟲
　　受影響系統: WinNT/Win2K/WinXP/Win2003
　　
　　 該病毒兼具黑客和蠕蟲的功能，利用IRC軟件開啟后門，等待黑客控制。使用RPC漏洞和WebDAV漏洞進行高速傳播。猜測弱口令重點攻擊局域網，造成局域網癱瘓。
　　
　　 金山毒霸已于11月27日進行了應急處理，并在當天升級了病毒庫。升級到11月27日的病毒庫可完全處理該病毒及其變種。
　　
　　技術細節
　　
　　 1、利用利用RPC DCOM漏洞和WebDAV漏洞在網絡中高速傳播；
　　 2、使用內部包含的超大型“密碼表”猜口令的方式攻擊局域網中的計算機，感染整個局域網，造成網絡癱瘓；
　　 3、系統修改:
　　 A.將自身復制為%System%\scvhost.exe.
　　 B.在注冊表的主鍵:
　　 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　 中添加如下鍵值:
　　 "servicehost"="Scvhost.exe"
　　 C.在注冊表的主鍵:
　　 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServiclearcase/" target="_blank" >cces
　　 中添加如下鍵值:
　　 "servicehost"="Scvhost.exe"
　　 4、中止許多知名反病毒軟件和網絡安全軟件；
　　 5、利用IRC軟件開啟后門；
　　 6、試圖偷取被感染計算機內的正版軟件序列號等重要信息；
　　 7、該病毒可造成計算機不穩定，出現計算機運行速度和網絡傳輸速度極劇下降，復制、粘貼等系統功能不可用，OFFICE和IE瀏覽器軟件異常等現象。
　　
　　 解決方案
　　
　　 A、升級金山毒霸病毒庫到11月27日的版本或下載“安哥”專殺工具，可完全處理該病毒；請到此鏈接下載專殺工具
　　 B、為系統打上MS03-026 RPC DCOM漏洞補丁(823980) 和MS03-007 WebDAV漏洞補丁(815021)，并為系統管理員帳號設置一個更為強壯的密碼。
　　 MS03-026 RPC DCOM漏洞補丁(823980)下載地址：
　　
　　 MS03-007 WebDAV漏洞補丁(815021）下載地址:
　　
　　 C、手工清除
　　 打開進程管理器，找到名為"scvhost.exe"的進程，并將其結束；在注冊表中的項:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run[未結束]