W32/Agobot-KC

ワームの除去方法をご覧ください。

セキュリティレベルが侵されたと思われるデータは、全て随時対処してください。 HOSTS ファイルをバックアップで置き換えるか、あるいは、ワームの行った変更を除去するために、ファイルを「メモ帳」で編集し直してください。 アドミニストレータパスワードを確認し、ネットワークセキュリティを見直してください。 存在する場合、以下のレジストリ値を編集することが必要です。レジストリの編集に関する警告 をご覧ください。 タスクバーで「スタート」-「ファイルを指定して実行」をクリックします。'Regedit' と入力して「Enter」キーを押します。レジストリエディタが開きます。 レジストリを編集する前にバックアップを作成してください。「レジストリ」メニューにて、「レジストリファイルの書き出し」をクリックします。「書き出し範囲」パネルで「すべて」をクリックし、レジストリをバックアップ保存します。 HKEY_LOCAL_MACHINE を探し、存在する場合は削除してください： HKLM￥SOFTWARE￥Microsoft￥Windows￥CurrentVersion￥Run￥ WSSAConfiguration= "wmmon32.exe" HKLM￥SOFTWARE￥Microsoft￥Windows￥CurrentVersion￥RunServices￥ WSSAConfiguration= "wmmon32.exe" レジストリエディタを閉じてください。

W32/Agobot-KC は、セキュリティレベルの低いパスワードに守られているコンピュータに蔓延する、バックドアワームです。 初回実行されると、W32/Agobot-KC はファイル名 wmmon32.exe として Windows System フォルダに自身を移動し、システム起動時に自身を実行するよう、以下のレジストリ値を作成します： HKLM￥SOFTWARE￥Microsoft￥Windows￥CurrentVersion￥Run￥ WSSAConfiguration= "wmmon32.exe" HKLM￥SOFTWARE￥Microsoft￥Windows￥CurrentVersion￥RunServices￥ WSSAConfiguration= "wmmon32.exe" ワームは実行されるたびに、IRC リモートサーバーに接続し、特定のチャンネルに参加しようと試みます。そしてワームはバックグラウンドで継続的に稼動しながら、遠隔侵入者に IRC チャンネル経由でのコンピュータへのアクセスと制御を許可します。 W32/Agobot-KC は、様々なウイルス対策およびセキュリティ関連のプログラムを停止し、無効にしようと試みます。ワームはまた、Windows System フォルダの中の Drivers￥etc サブフォルダにある HOSTS ファイルを変更し、数多くのウイルス対策 web サイトへのアクセスを妨げます。 さらにワームは、ローカルネットワーク共有フォルダを削除し、ユーザーのコンピュータにインストールされているソフトウェア製品の登録キーを盗もうとしたりします。