Worm.Win32_Agobot-AIZ

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 303104 Octet(s)

Détails techniques:

Lorsqu'il est exécuté, Agobot-AIZ se déplace dans le répertoire %System% sous le nom "nt32.exe" et créait les entrées suivantes dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
Reg Service = "nt32.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Reg Service = "nt32.exe"


Le ver tente continuellement de se connecter à un salon de discussion IRC.

Le ver exploite certaines failles du système Windows afin de se répandre :

Buffer Overflow in Universal Plug and Play vulnerability (MS01-059)
Buffer Overflow in SQL Server 2000 vulnerability (MS02-061)
IIS/WEBDAV vulnerability (MS03-007)
RPC/DCOM vulnerability (MS03-026)
LSASS vulnerability (MS04-011)





http://fr.redtram.com/