Worm.Win32_Agobot-QX

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, Agobot-QX se copie dans le répertoire %System% sous le nom de "WCEMNGR.EXE" et exécute cette copie du ver. La copie tente ensuite de supprimer le fichier original.

Afin d'être exécuté à chaque démarrage d'une session utilisateur, Agobot-QX paramètre les entrées de registre suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WCESMngr
WCEMNGR.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
WCESMngr
WCEMNGR.EXE


Le ver s'exécute en permanence en tâche de fond fournissant un accès par porte dérobée à l'ordinateur.

De plus, il modifie le fichier HOSTS généralement localisé dans "C:\Windows\System32\Drivers\etc\HOSTS", afin que certains sites Internet ne puissent être contactés :

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com


Pour activer/désactiver DCOM, Agobot-QX modifie l'entrée de registre suivante :

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM

Agobot-QX peut ajouter et supprimer des partages réseau C$, D$, IPC$ et ADMIN$.

Agobot-QX tente de mettre fin à de nombreux processus associés à un antivirus ou à un outil de sécurité ainsi que d'autres virus, vers et chevaux de Troie.




http://www.cccure.net/