Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Agobot-AAG s'exécute en permanence en tâche de fond fournissant un serveur de porte dérobée qui permet à l'intrus distant de prendre l'accès et le contrôle de l'ordinateur via les canaux IRC.
Agobot-AAG inclut des fonctionnalités permettant de :
- dérober des informations confidentielles
- lancer des attaques DDoS (déni de service distribué)
- télécharger en silence puis installer et exécuter un nouveau logiciel
- désactiver des applications antivirus et de sécurité
Lorsqu'il est exécuté pour la première fois, Agobot-AAG se déplace dans le dossier %Système%\wmp9.exe et, pour s'exécuter à l'ouverture d'une session du système, crée les entrées de registre suivantes :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Nero Updater.6.12
wmp9.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Nero Updater.6.12
wmp9.exe
Agobot-AAG modifie le fichier HOSTS, en changeant les réorientations URL en IP des sites web correspondants, empêchant ainsi un accès normal à ces sites. Le nouveau fichier HOSTS contient généralement les chaînes suivantes :
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com