Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 303104 Octet(s)
Détails techniques:
Lorsqu'il est exécuté, Agobot-AIZ se déplace dans le répertoire %System% sous le nom "nt32.exe" et créait les entrées suivantes dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
Reg Service = "nt32.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Reg Service = "nt32.exe"
Le ver tente continuellement de se connecter à un salon de discussion IRC.
Le ver exploite certaines failles du système Windows afin de se répandre :
Buffer Overflow in Universal Plug and Play vulnerability (MS01-059)
Buffer Overflow in SQL Server 2000 vulnerability (MS02-061)
IIS/WEBDAV vulnerability (MS03-007)
RPC/DCOM vulnerability (MS03-026)
LSASS vulnerability (MS04-011)