W32/Agobot-BF

ワームの除去方法をご覧ください。

W32/Agobot-BFは、IRCバックドアトロイの木馬およびネットワーク送信型ワームです。 W32/Agobot-BFは、ローカルネットワークにあるセキュリティレベルの低いパスワードを持つコンピュータに感染可能です。 初めて実行されるとW32/Agobot-BFは、自身をSvchos1.exeとしてWindows systemフォルダにコピーし、Windows起動時に自身を実行するため、以下のレジストリ値を作成します： HKLM￥SOFTWARE￥Microsoft￥Windows￥CurrentVersion￥Run￥
Configuration Loading = Svchos1.exe HKLM￥SOFTWARE￥Microsoft￥Windows￥CurrentVersion￥RunServices￥
Configuration Loading = Svchos1.exe NTベースのWindowsバージョンでワームは、スタートアップのプロパティが自動に設定された新しいサービス "Configuration Loading" を作成し、Windowsが開始するたびにサービスが自動的に開始するようにします。 W32/Agobot-BFが起動するたびに、リモートIRCサーバーに接続し、特定のチャンネルに参加しようとします。 W32/Agobot-BFはその後バックグラウンドで継続して作動し、リモート侵入者がIRCチャンネル経由でコンピュータにアクセスし、制御できるようにします。 W32/Agobot-BFは、セキュリティ関係のさまざまなプログラムを停止し、無効にしようとします。また自身のプロセスが削除されないようにします。