[Info] Le virus Agobot

orbitalcoil

Grand Maître
Nouveau virus informatique dangereux en promenade sur le réseau. Il se nomme Agobot, un ver, worm, qui tente de prendre le pouvoir sur des machines infectés. Il passe par des canaux IRC pour diffuser sa récolte et se propager.

Ce virus utilise les failles DCOM RPC. Le virus ferme les applications de sécurité tels que Black Ice, Zone Alarme, ... afin de continuer sa route via les machines infectées.

Agobot modifie la base de registre aux adresses suivantes :

HKLMSoftwareMicrosoftWindowsCurrentVersionRunConfig Loader = ""

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesConfig Loader = ""

http://www.zataz.com/zatazv7/news.php?id=3961&lpgfc=npGQkYaSmow=
 

skudoxx

Habitué
bon... petite précision
les clés c 'est :

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Config Loader
= "<copy of the worm>"



donc pour W32.HLLW.Gaobot.AE

c regloadr.exe qu il faut virer
 

dju

Grand Maître
et si on a patché notre windows avec le patch qui sert à stopper blaster ?
 

skudoxx

Habitué
W32/Agobot-S est un cheval de Troie de porte dérobée IRC et un ver réseau.

W32/Agobot-S se copie sur les partages réseau ayant des mots de passe triviaux et essaie de se propager sur les ordinateurs en utilisant les failles de sécurité DCOM du RPC et du localisateur RPC.

Microsoft a publié des correctifs pour les failles exploitées par ce ver. Ces correctifs sont disponibles à partir de



et



Lors de sa première exécution W32/Agobot-S se copie dans le dossier Système de Windows sous le nom de fichier scvhost.exe et crée dans la base de registre les entrées suivantes pour que scvhost.exe soit automatiquement exécuté à chaque fois que Windows démarre :

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\Config Loader = scvhost.exe

et

HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Config Loader = scvhost.exe

Sur les machines Windows NT, 2000 et XP W32/Agobot-S peut s'exécuter en tant que nouveau service nommé Cfgldr.

A chaque fois que W32/Agobot-S est exécuté, il essaie de se connecter sur un sereur IRC distant et de joindre un canal spécifique. W32/Agobot-S s'exécute alors en fond de tâche, permettant à un intrus distant d'accéder et de contrôler l'ordinateur via IRC
 
Vous devez vous inscrire ou vous connecter pour répondre ici.
Derniers messages publiés
Statistiques globales
Discussions
730 098
Messages
6 717 058
Membres
1 586 284
Dernier membre
fjfkfjfkfjfjcj
Partager cette page
Haut