该病毒及其变种,利用微软公布的两个漏洞进行传播,病毒运行后会修改注册表,终止一些防病毒软件和防火墙的运行。另外,病毒可通过mIRC和局域网共享进行传播。并具有后门功能。去年末它的一个变种(Worm.Agobot.3.T)曾在国内出现,杀伤力甚至超过了冲击波(Worm.Msblast)病毒,使北京数百个企业局域网瘫痪。它属于兼据黑客木马和蠕虫特点的混合型病毒。当病毒发作时可以造成无法正常使用微软OFFICE和IE浏览器等软件,无法进行复制和粘贴操作,另外还会出现注册表无法使用,系统文件无法正常显示等异常情况。该病毒还会偷盗安装在电脑中的许多正版软件的CDKEY(安装序列号)。同时系统资源被大量占用,CPU占用率会达到100%,使用户计算机反应速度极慢,甚至死机,这就难怪刚才系统运行那么慢了。
为了尽可能的延长病毒的存活期,它会监视系统中的反病毒的工具和软件的进程,如果发现它们就将其进程结束,从而可以杀掉几十家反病毒公司的上百种反病毒程序。看来杀毒软件无法运行也找到答案了。
清除方法:按下CTRL+ALT+DEL打开任务管理器查看进程,查看进程中是否有一项名为“nvchip4.exe”的程序在运行,如果有就结束它。然后点击“搜索”在系统盘下查找并删除“nvchip4.exe”这个文件。最后打开注册表编辑器删除 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的病毒启动项,注意[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices]也要查看一下,因为有些变种会将自己注册成系统中的服务,比如服务名为Configuration Loader或ConfiggLoader。
由于安哥病毒前前后后出现了数十种变种,病毒文件名又各不相同,所以可以下载了免费的“安哥”病毒专杀工具对整个硬盘进行全面查杀。另外病毒中会带有一个较大的“密码字典”,利用它来攻击局域网中的计算机,从而感染整个域局网,导致网络瘫痪。因此企业及局域网用户应该特别注意,建议网管将系统管理员帐户密码尽量设置得复杂一些。
