Name
W32/Agobot-LF Typ
Alias
- Backdoor.Agobot.gen
- W32/Gaobot.worm.gen.e
- Win32/Agobot.3.RD
- W32.HLLW.Gaobot.gen
- WORM_AGOBOT.MG
Schutz verfügbar seit 27 April 2004 15:50:39 (GMT) Erkannt von
Alle Versionen von Sophos Anti-Virus In unserem Produkt enthalten seit Juni 2004 (3.82)
Dieser Bereich erläutert sein Verhalten
W32/Agobot-LF ist ein Netzwerkwurm, der unbefugten Fernzugriff auf den Computer mittels IRC-Kanälen ermöglicht.
W32/Agobot-LF kopiert sich auf Netzwerkfreigaben mit einfachen Kennwörtern und versucht, sich auf Computer zu verbreiten, indem er die DCOM RPC- und die RPC-Locator-Schwachstellen ausnutzt.
Durch diese Schwachstellen kann der Wurm seinen Code auf den Zielcomputern mit Systemrechten ausführen. Weitere Informationen über diese Schwachstellen und Hinweise dazu, wie Sie Ihre Computer vor solchen Angriffen schützen bzw. patchen können, finden Sie in den Microsoft Security Bulletins
MS03-001 und
MS03-026. MS03-026 wurde durch den Microsoft Security Bulletin
MS03-039 ersetzt.
W32/Agobot-LF verschiebt sich als winlog.exe in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge, so dass er beim Systemstart ausgeführt wird:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Windows Login = winlog.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Windows Login = winlog.exe
Auf NT-basierten Windows-Versionen erstellt der Wurm einen neuen Dienst namens "Windows Login", für den die Starteigenschaften auf automatisch gestellt sind, so dass der Dienst automatisch bei jedem Start von Windows aktiviert wird.
W32/Agobot-LF versucht, verschiedene Antiviren- und Sicherheitsprogramme zu beenden und zu deaktivieren. Er versucht außerdem, Prozesse zu beenden, die mit der W32/Blaster-Wurmfamilie im Zusammenhang stehen.
W32/Agobot-LF sammelt Systemdaten und Registrierungsschlüssel beliebter Spiele, die auf dem Computer installiert sind.
Dieser Bereich erläutert, wie Sie diesen Virus desinfizieren.
Bitte folgen Sie den
Hinweisen zum Entfernen von Würmern.
Laden Sie die oben erwähnten Microsoft-Patches herunter und installieren Sie diese.
Ändern Sie alle Daten, die möglicherweise gestohlen wurden.
Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk.
Sie müssen außerdem die folgenden Registrierungseinträge bearbeiten, sofern sie vorhanden sind. Lesen Sie bitte die
Warnung über das Bearbeiten der Registrierung.
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.
Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Windows Login = winlog.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Windows Login = winlog.exe
Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.
