PDA

Visualizza versione completa : W32/Agobot-AW - Rischio 4 - Update


Giorgius
02-12-2003, 16.04.12
Variante pericolosa del Worm.

Aliases:
W32/Agobot-AW (Sophos), Worm-Backdoor.W32/Agobot.AW@RPC

Effetti:
Agobot.AW se copia en unidades compartidas de red con contraseñas no seguras e intentará extenderse a otros equipos aprovechando las vulnerabilidades DCOM RPC y localizador RPC.
Estas vulnerabilidades permiten al gusano ejecutarse con privilegios de sistema. Para más información sobre estas vulnerabilidades y la descarga de los parches correspondientes, vea las siguientes páginas en la Web de Microsoft MS03-026 y MS03-001.
Al ejecutarse por primera vez, Agobot.AW se copia en la carpeta System32 de Windows con el nombre wincrt32.exe y crea las siguientes entradas en el registro para activarse en el inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Config Loader
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Config Loader
El gusano recoge información del sistema y claves de registro de diferentes juegos que pudieran estar instalados en el equipo.
También intentará detener diferentes procesos relacionados con programas antivirus y de seguridad (como SWEEP95.EXE, BLACKICE.EXE o ZONEALARM.EXE).

Info:
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3311
http://esp.sophos.com/virusinfo/analyses/w32agobotaw.html


Aggiornamento AntiVirus al 01.12.03 ;)(Y)