Eine Virenkennungsdatei (IDE) zum Schutz steht unter Virenkennungen zur Verfügung und ist ab Version Juni 2004 (3.82) in Sophos Anti-Virus enthalten.
Zum jetzigen Zeitpunkt hat Sophos lediglich eine Meldung dieses wurms als "in the wild" erhalten.
W32/Agobot-NV ist ein IRC-Backdoor-Trojaner und ein Netzwerkwurm, der sich auf Computer verbreitet, indem er zufällig erzeugte IP-Adressen ausnutzt.
Dieser Wurm verschiebt sich als ATIPHEXX.EXE in den Windows-System32-Ordner und erstellt die folgenden Registrierungseinträge, so dass er automatisch beim Systemneustart aktiviert wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
ATI Cpanel = atiphexx.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
ATI Cpanel = atiphexx.exe
W32/Agobot-NV erstellt außerdem die folgenden Registrierungseinträge:
HKLM\System\CurrentControlSet\Services\ATI Cpanel\
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_ATI_CPANEL\
Dieser Wurm versucht, E-Mail-Adressen im Windows-Adressbuch aufzustöbern und sendet sich mit seiner eigenen STMP-Engine an diese E-Mail-Adressen, wobei er sich selbst als ausführbares Attachment an die E-Mails anhängt.
W32/Agobot-NV versucht, neben anderen Viren, Würmern und Trojaner auch Antiviren- und andere Sicherheitsprozesse zu beenden.
|
