来个小可爱![BC8E38]

lovecho

病毒特征：某些.EXE文件无法打开如暴影音并且无法卸载及重装
　　该病毒主要利用微软SSL安全漏洞进行攻击。微软证书服务中使用的PCT（Private Communication Technology）协议在处理客户端请求的时候存在一个远程缓冲区溢出漏洞，该协议是基于Microsoft IIS 5 WEB平台的Microsoft SSL（Secure Sockets Layer）库的实现。
　　病毒运行后，在%Windows％目录下生成自身的拷贝，名称为avserve.exe,avserve2.exe等，文件长度为15872字节，和在%System%目录下生成其它病毒文件
例如:
c:\win.log : IP地址列表
c:\WINNT\avserve.exe : 蠕虫病毒文件本身
c:\WINNT\system32\11113_up.exe : 可能生成的蠕虫文件本身
c:\WINNT\system32\16843_up.exe : 可能生成的蠕虫文件本身

    修改注册表项
　　病毒创建注册表项，使得自身能够在系统启动时自动运行，在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建
"avserve"=”c:\WINNT\avserve.exe”
   通过系统漏洞主动进行传播病毒主动进行扫描，当发现网络中存在微软SSL安全漏洞时，进行攻击，然后在受攻击的系统中生成名为cmd.ftp的ftp脚本程序，通过TCP端口5554下载蠕虫病毒。
　
危害性
　 受感染的系统可能死机或者造成重新启动，同时由于病毒扫描A 类或B类子网地址，目标端口是TCP 445会对网络性能有一定影响，尤其局域网可能造成瘫痪。并可以在TCP 9996端口创建远程Shell。该病毒在传播和破坏形式上与“冲击波”病毒相类似。

[ 本帖最后由 promised 于 2007-8-1 13:46 编辑 ]

sbbdms

KVKILL掉。。。

flowerpig

a-squared	3.0.0.123	2007.07.30	2007-07-30	没有检测到病毒	3.598
Arcavir	1.0.4	200707311052	2007-07-31	Worm.Agent.Aj	1.171
AVAST	1.0.8	000762-4	2007-07-30	Win32:Small-EYL [Trj]	3.046
AVG	7.5.47.442	269.10.23/924	2007-07-28	Worm/Generic.AZZ	1.396
BitDefender	7.60825.702889	7.14127	2007-07-31	Win32.Worm.Agent.U	2.55
CA (VET)	8.4.0.24	31.1.5019	2007-07-31	没有检测到病毒	0.829
ClamAV	0.91.1	3835	2007-07-31	没有检测到病毒	0.037
ewido	4.0.0.2	2007.07.30	2007-07-30	Worm.Hina	2.014
F-SECURE	5.51.6100	2007.07.31.03	2007-07-31	Worm.Win32.Agent.aj	2.43
IKARUS	T3.1.1.12	2007.07.31.69286	2007-07-31	Worm.Win32.Agent.aj	1.28
MKS_VIR	2.01	2007.07.31	2007-07-31	没有检测到病毒	1.975
NOD32	2.70.7	2429	2007-07-30	Win32/Agent.AJ worm	1.367
SOPHOS	558427	558427	2007-07-31	Mal/Packer	2.634
VBA32	3.12.2.2	20070730.1503	2007-07-30	Worm.Win32.Agent.AJ	0.651
VirusBuster	4.3.19:9	9.093.3/11.0	2007-07-31	Packed/FSG	0.904
冰岛杀毒	3.16.16	2007.07.30	2007-07-30	没有检测到病毒	0.403
卡巴斯基	5.5.10	2007.07.31	2007-07-31	Worm.Win32.Agent.aj	0.041
大蜘蛛	4.33	2007.07.31	2007-07-31	Win32.HLLW.Hina	4.619
小红伞	7.4.0.54	6.39.0.202	2007-07-31	W32/Downloader.C	2.264
江民杀毒	9.0.0.350	2007.07.31	2007-07-31	没有检测到病毒	0.824
熊猫卫士	9.00.00	2007.07.29	2007-07-29	Trj/Lineage.CYQ	3.949
诺曼	5.90.37	5.90	2007-07-31	W32/Smallworm.RI	2.534
赛门铁克	1.3.0.24	20070730.016	2007-07-30	Downloader	0.354
趋势	8.500-1001	4.625.00	2007-07-30	PE_AGENT.PXI-O	0.036
迈克菲	5.1.00	5086	2007-07-30	Generic.dx	0.632
金山毒霸	2007.6.20.249	2007.7.31	2007-07-31	Worm.Agent.aj.6041	0.799

欠妳緈諨

小不点

微点卫士

费尔扫描报Worm.Agent.aj.uzue

微点:
蠕虫名称:Worm.Win32.Agent.aex

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\SETUP.EXE
是蠕虫程序!
已成功阻止其运行,是否要删除此文件?

胡同文化

这个会感染所有可执行文件
每个盘符下都有setup.exe， autorun.inf

C:.
│  
│
├─WINDOWS
│  └─system32
│      │  internt.exe
│      │  progmon.exe
│      │
│      └─IME
│              svchost.exe

taihuxian

Virus: Worm.Win32.Agent.aj

Virus found while downloading Web content.

Address: bbs.kafan.cn

moonsilver

主动防御测试报

                瑞星病毒查杀结果报告

清除病毒种类列表：
病毒： Worm.Tinret.a            

用户来源：局域网

软件版本：19.34.02

yinxuchina

北京江民新科技术有限公司

        扫描引擎 10.00.650
        病毒库日期 2007-07-31
        更新日期 2007-08-01

扫描目标 C:\Documents and Settings\yin\My Documents\setup.rar

开始时间 2007-08-01 03:58:23

在 C:\Documents and Settings\yin\My Documents\setup.rar->setup.exe 中发现 Worm/Agent.t 病毒, 已删除
正常结束。

扫描结果:
                 文件数 :2                                   病毒体 :1         
                   删除 :1                                     解毒 :0         
    扫描速度(千字节/秒) :11                                扫描时间 :00:00:01
    扫描文件速度(个/秒) :2
江民杀毒 9.0.0.350 2007.07.31 2007-07-31 没有检测到病毒
新版本的引擎效果是好些

Worm/Agent.t“代理”变种t是一个由Visual C++工具编写、经PECompact工具加壳处理的蠕虫病毒，利用共享文件夹，管理员弱口令，系统漏洞等多种方式进行传播，发送大量的数据包，侵占网络带宽，使局域网运行的速度变慢。

[ 本帖最后由 yinxuchina 于 2007-8-1 04:08 编辑 ]

tracydk