[Info] Le virus Agobot

orbitalcoil

Grand Maître
#1
Nouveau virus informatique dangereux en promenade sur le réseau. Il se nomme Agobot, un ver, worm, qui tente de prendre le pouvoir sur des machines infectés. Il passe par des canaux IRC pour diffuser sa récolte et se propager.

Ce virus utilise les failles DCOM RPC. Le virus ferme les applications de sécurité tels que Black Ice, Zone Alarme, ... afin de continuer sa route via les machines infectées.

Agobot modifie la base de registre aux adresses suivantes :

HKLMSoftwareMicrosoftWindowsCurrentVersionRunConfig Loader = ""

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesConfig Loader = ""

http://www.zataz.com/zatazv7/news.php?id=3961&lpgfc=npGQkYaSmow=
 

skudoxx

Habitué
#2
bon... petite précision
les clés c 'est :

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Config Loader
= "<copy of the worm>"



donc pour W32.HLLW.Gaobot.AE

c regloadr.exe qu il faut virer
 

dju

Grand Maître
#3
et si on a patché notre windows avec le patch qui sert à stopper blaster ?
 

orbitalcoil

Grand Maître
#4
aucune idée
 

skudoxx

Habitué
#5
W32/Agobot-S est un cheval de Troie de porte dérobée IRC et un ver réseau.

W32/Agobot-S se copie sur les partages réseau ayant des mots de passe triviaux et essaie de se propager sur les ordinateurs en utilisant les failles de sécurité DCOM du RPC et du localisateur RPC.

Microsoft a publié des correctifs pour les failles exploitées par ce ver. Ces correctifs sont disponibles à partir de

http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

et

http://www.microsoft.com/technet/security/bulletin/MS03-001.asp

Lors de sa première exécution W32/Agobot-S se copie dans le dossier Système de Windows sous le nom de fichier scvhost.exe et crée dans la base de registre les entrées suivantes pour que scvhost.exe soit automatiquement exécuté à chaque fois que Windows démarre :

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\Config Loader = scvhost.exe

et

HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Config Loader = scvhost.exe

Sur les machines Windows NT, 2000 et XP W32/Agobot-S peut s'exécuter en tant que nouveau service nommé Cfgldr.

A chaque fois que W32/Agobot-S est exécuté, il essaie de se connecter sur un sereur IRC distant et de joindre un canal spécifique. W32/Agobot-S s'exécute alors en fond de tâche, permettant à un intrus distant d'accéder et de contrôler l'ordinateur via IRC
 

orbitalcoil

Grand Maître
#6
le mieux est de ne pas avoir de client irc quoi
 
Vous devez vous inscrire ou vous connecter pour répondre ici.
Staff en ligne
  • scoolup
    Modérateur
  • drul
    Obscur pro du hardware
  • Basturbe
    Modérateur configopathe
Membres en ligne
  • scoolup
  • Dimlau88
  • drul
  • delmob
  • Basturbe
  • SergioVE
Derniers messages publiés
Statistiques globales
Discussions
867 364
Messages
8 080 568
Membres
1 577 997
Dernier membre
OierH
Partager cette page
Haut