局域网上大战Agobot

地形

    硬件：电脑共10台，大部分为3到4年前的主流配置。

    操作系统：一台Windows XP，两台Windows 2000 Server，其余均为Windows2000 Professional

    常用软件：一台设计用电脑，常用多种图文处理软件；两台财务用电脑，常用专用财务软件；其余均为普通办公用电脑，常用Office 2000类办公软件（包括Access、PowerPoint、Word以及Excel等）；其中一台常用于邮件接收，但并未使用客户端邮件收发工具软件，而是采用直接登陆邮箱的形式。

    杀毒软件：两台机器没有安装任何杀毒软件；一台机器装有瑞星防火墙；其余机器均安装有江民KV2004，最后更新日期为3月29日左右；其中部分机器还有残留的非正版赛门铁克，最后更新日期为2004年。

    网络：使用小区物业提供的以太网接入服务来连接互联网，服务采用PPPoE模式，自动获取DNS和IP。接入的以太网通过路由器，为公司局域网中的各个站点提供互联网接入。路由器下面使用一台交换机和一台集线器进行接入口的扩展。

现场

    网络阻塞。网卡一直处于忙碌状态，有大量数据包进出，却无法连网。

    大部分电脑运行速度明显变慢，稍大的图片编辑软件甚至无法打开，鼠标键盘反应迟钝。

    敌方占有绝对优势

侦查

    打开任务管理器，有两个可疑进程：SCVHOST.EXE和wdfmgr.exe（敌军主力？）。后者占用大量CPU资源，将其终止后，本地电脑反应迟钝的现象大大缓解。将两个都终止后，网卡进出的数据包大大减少。但若不断开网络，两个进程很快又会出现在进程列表中。

    SCVHOST.EXE为敌军的间谍，想伪装成常见系统进程svchost.exe，它占用我方一定数量的CPU时间。在将其终止前，注册表编辑器会在启动后很快自动关闭，使我方无法进行查看和修改。经查找敌方资料，符合此特征的有病毒Agobot（又称为Gaobot）系列，基本资料如下（转自瑞星反病毒资讯网）：

    该病毒集蠕虫、木马、后门等多种特性于一身，会通过破译简单的网络密码来感染局域网中的所有计算机，并通过开后门的形式在被感染的计算机中建立一个病毒服务平台，使外界的客户端可以通过该病毒运行十几种远程控制命令。

    该病毒运行时会盗取十几种产品的序列号，并关掉几十种应用程序，使被感染的计算机速度变慢，出现如剪切板无法使用、注册表编辑工具无法运行等现象，使用户无法正常使用计算机。

    该病毒运行时会在系统目录中产生"scvhost.exe"的病毒文件，建一个名为"cfgldr"的服务，并在被感染的系统上开一个后门，监听65506端口，等待远程的控制命令，利用该后门，远程控制者可以对被感染的计算机发动httpflood、udpflood等十几种攻击。

    另外，病毒还建立了一个有几十种程序的内存列表，在病毒运行期间，如果发现内存中有这些程序在运行，病毒就会将它们关闭，使它们无法运行。

    注意：很多变种通过以上介绍的功能，可以实现关闭常见杀毒软件自动升级的功能。所以感染病毒后，再对杀毒软件进行升级，操作很可能是无效的。这一点在实践中也得到了证实。感染后的升级，并不能截获或者删除病毒。所以在手工清除病毒之后需要重新升级杀毒软件。

    至于wdfmgr.exe进程，侦查到的资料均显示这名号属于正经Microsoft编制，其描述为：Microsoft Windows media player 10 的一部分，全名为Windows Driver Foundation Manager，并非系统重要进程。但是根据现场排查可发现，wdfmgr.exe文件位于系统文件夹和共享文件夹下，并且在注册表中有开机自动启动的相关设置，诸如此类的敌军特征，所以怀疑此君即使不是敌军的正规部队，至少也是借尸还魂的鬼兵。

    除了一台不联网的机器和两台有密码的机器之外，其他机器均受重创。

大举反攻

    隔离：将所有计算机断开网络

    切断敌军前后联系：重新启动计算机

    围剿先锋队：检查任务管理器的进程表，终止上述两个进程。

    消灭指挥所。打开注册表编辑器，在
            HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
和
            HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
中，删除所有键值为SCVHOST.EXE和wdfmgr.exe的键。保存修改并关闭。

    直捣老巢：打开资源管理器，用"搜索"搜索硬盘上所有的名为SCVHOST.EXE和wdfmgr.exe的文件，把它们删除，并在回收站中彻底删除。

    清理战场：重新启动计算机

    自我检查以确保没有间谍残存：再次检查任务管理器的进程表，确定没有上述两个进程。

    修筑防御工事：运行杀毒软件的最新升级包进行升级。

    全面肃清残余恶势力、帮凶及其他反对力量：用升级后的杀毒软件进行全面查毒。

    对外开放：将此计算机连接入网络。

    转战下一战场：依此顺序处理其他计算机。

    注意：确保联入网络的计算机已经没有病毒并且正确的升级了杀毒软件。否则此病毒会重新在网络上蔓延，所有工作就要重头来过了。

其他帮凶

其他帮凶

    除了上述两个主要病毒，个别计算机上（主要是长期未杀毒的几台机器）还有VBS类病毒、与Agobot类似的Rbot系列病毒，以及与网银大盗类似的木马等，这些均可被江民查杀。

战后建设

    关闭不必要的服务，参见系统进程列表。

    添加或修改Administrator级用户密码。两台没有中毒的计算机，其Administrator级用户均设有自定义的密码，可见增加密码是一个简单有效的防止Agobot、Rbot这类病毒的方法。

    删除误安装的游戏程序以及网络程序。

    至此，此战役获得了圆满胜利！