W32/Agobot-BK

ワームの除去方法をご覧ください。

W32/Agobot-BKは、ネットワーク送信型ワームで、IRCチャンネル経由でコンピュータへの未認可リモートアクセスを可能にします。

W32/Agobot-BKは、セキュリティレベルの低いパスワードを持つネットワーク共有フォルダに自身をコピーし、DCOM RPC脆弱性とRPCローケータ脆弱性を使用してコンピュータに感染しようとします。

これらの脆弱性を使用して、ワームは感染対象のコンピュータでシステムレベルの権限を使ってワームコードを実行できます。これらの脆弱性の詳細と、このような攻撃に対してコンピュータを保護する/修正パッチを適用する方法は、Microsoft社セキュリティ情報MS03-026とMS03-001をご覧ください。

W32/Agobot-BKは自身をCSRRS.EXEとしてWindows systemフォルダにドロップし、システム起動時に自身を実行するため、以下のレジストリ値を追加します：

HKLM￥Software￥Microsoft￥Windows￥CurrentVersion￥Run
HKLM￥Software￥Microsoft￥Windows￥CurrentVersion￥RunServices

W32/Agobot-BKは実行されるたび、リモートIRCサーバーに接続し、特定のチャンネルに参加します。

W32/Agobot-BKはまた多様なウイルス対策およびセキュリティ関係のソフトウェア（SWEEP95.EXE、BLACKICE.EXE、ZONEALARM.EXE）を停止、無効にしようとします。