W32/Agobot-BI

ワームの除去方法をご覧ください。

W32/Agobot-BI は、IRCバックドアトロイの木馬およびネットワーク送信型ワームです。 W32/Agobot-BI は、セキュリティレベルの低いパスワードを持つネットワーク共有フォルダに自身をコピーし、DCOMRPC 脆弱性とRPC Locator 脆弱性を使用してコンピュータに感染しようとします。 これらの脆弱性を使用して、ワームは感染対象のコンピュータでシステムレベルの権限を使ってワームコードを実行できます。これらの脆弱性の詳細と、このような攻撃に対してコンピュータを保護する/修正パッチを適用する方法は、Microsoft 社セキュリティ情報MS03-026 と MS03-001 をご覧ください。 初めて実行されると W32/Agobot-BI は、自身を Cavapsvc.exe として Windows system フォルダにコピーし、Windows 起動時に自身を実行するため、以下のレジストリ値を作成します： HKLM￥SOFTWARE￥Microsoft￥Windows￥CurrentVersion￥Run￥
Norton Live Updater = Cavapsvc.exe HKLM￥SOFTWARE￥Microsoft￥Windows￥CurrentVersion￥RunServices￥
Norton Live Updater = Cavapsvc.exe W32/Agobot-BI はまた自身をサービスとして登録し、これは Windows 起動時にアクティブになります。このサービスの名前は Norton Live Updater です。 W32/Agobot-BI はリモート IRC サーバーに接続し、特定のチャンネルに参加します。攻撃者は、IRC ネットワークを使用してワームのバックドア機能にアクセスできます。 ワームはまた多様なセキュリティ関係のプログラムを停止、無効にしようともします。