W32/Agobot-BE

ワームの除去方法をご覧ください。

W32/Agobot-BEは、IRCバックドアトロイの木馬およびネットワーク送信型ワームです。 W32/Agobot-BEは、セキュリティレベルの低いパスワードを持つネットワーク共有フォルダに自身をコピーし、DCOMRPC脆弱性とRPC Locator脆弱性を使用してコンピュータに感染しようとします。 これらの脆弱性を使用して、ワームは感染対象のコンピュータでシステムレベルの権限を使ってワームコードを実行できます。これらの脆弱性の詳細と、このような攻撃に対してコンピュータを保護する/修正パッチを適用する方法は、Microsoft社セキュリティ情報MS03-026とMS03-001をご覧ください。 初めて実行されるとW32/Agobot-BEは、自身をavapsvc.exeとしてWindows systemフォルダにコピーし、Windows起動時に自身を実行するため、以下のレジストリ値を作成します： HKLM￥SOFTWARE￥Microsoft￥Windows￥CurrentVersion￥Run￥
Norton Live Updater = avapsvc.exe HKLM￥SOFTWARE￥Microsoft￥Windows￥CurrentVersion￥RunServices￥
Norton Live Updater = avapsvc.exe W32/Agobot-BEは自身をサービスとして登録し、これはWindows起動時にアクティブになります。このサービスの名前はNorton Live Updaterです。 W32/Agobot-BEはその後リモートIRCサーバーに接続し、特定のチャンネルに参加します。攻撃者は、IRCネットワークを使用してワームのバックドア機能にアクセスできます。 ワームはまた多様なセキュリティ関係のプログラムを停止、無効にしようともします。