Antivirus and Security Software from Sophos

W32/Agobot-Q

Alias
  • Backdoor.Agobot.3
  • WORM_AGOBOT.P
  • W32.HLLW.GAOBOT.AA
  • W32/Gaobot.worm.y
Kategorie
Typ
Vorgehensweise
Verbreitung niedrig hoch

Übersicht

 
Schutz erhältlich seit 28 September 2003 09:47:11 (GMT)
Erkannt von Alle Sophos Produkte
Download Kostenlose Überprüfung auf Viren
Download Threat Detection Test
  • Kostenlose Überprüfung auf Viren und Spyware
  • Testet Ihren bestehenden Virenschutz
  • Findet Ihre Virenschutzlösung alle Viren?

Maßnahme

Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.

Bitte folgen Sie den Hinweise zum Entfernen von Würmern.

Windows

Die Registrierungsänderungen, die W32/Agobot-Q vorgenommen hat, sollten rückgängig gemacht werden, bevor Dateien gelöscht werden, die den Wurm enthalten.

Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.

Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.

Suchen Sie unter HKEY_LOCAL_MACHINE die Schlüssel:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

und

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Löschen Sie alle Verweise auf Config Loader = svchosl.exe.

Schließen Sie den Registrierungseditor.

Lesen Sie bitte die Hinweise zum Entfernen von Würmern.

Sie sollten die oben erwähnten Patches installieren.

Sonstige Plattformen

Lesen Sie bitte die Hinweise zum Entfernen von Würmern.

Weitere Informationen

W32/Agobot-Q ist ein netzwerkfähiger Wurm und Backdoor-Trojaner, der unbefugten Fernzugriff auf einen Computer ermöglicht.

Wenn sich ein Angreifer über einen bestimmten IRC-Kanal mit der "Backdoor" verbindet, kann er Anweisungen senden, durch die der Wurm das Internet nach Computern durchsucht, auf die er sich kopieren kann. Bei der Suche hält er gezielt nach Netzwerkfreigaben mit einfachen Kennwörtern und Computern mit der DCOM RPC- und der Locater-Service-Schwachstelle Ausschau. Patches für diese beiden Sicherheitslücken stehen von Microsoft unter www.microsoft.com/technet/security/bulletin/MS03-026.asp und www.microsoft.com/technet/security/bulletin/MS03-001.asp zur Verfügung.

W32/Agobot-Q wird mit den Dateinamen svchosl.exe und winhl32.exe in den Windows-Systemordner kopiert und er fügt die folgenden Einträge zur Registrierung hinzu, so dass der Trojaner beim Start von Windows aktiviert wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Config Loader = svchosl.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Config Loader = svchosl.exe

RSS|Atom
Berichte über die neuesten Viren- und Spyware-Threats direkt auf Ihrem Computer