Worm.Win32_Agobot-QL

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, Agobot-QL se déplace dans le répertoire %System% sous le nom "IEXPL0RE.EXE" et créait les entrées suivantes dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
IEXPL0RER =
"IEXPL0RER.EXE"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
IEXPL0RER =
"IEXPL0RER.EXE"


Le ver tente continuellement de se connecter à un salon de discussion IRC.

Le ver tente également de terminer et désactiver certains programmes de sécurité informatique et anti-virus.

De plus, il modifie le fichier HOSTS généralement localisé dans "C:\Windows\System32\Drivers\etc\HOSTS", afin que certains sites Internet ne puissent être contactés :

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com





http://fr.redtram.com/