Description
W32/Agobot-BM est un cheval de Troie de porte dérobée IRC et un ver de réseau.
W32/Agobot-BM est capable de se propager sur des ordinateurs du réseau
local protégés par des mots de passe triviaux. Il peut aussi se propager sur
d'autres machines en utilisant certaines failles.
Lorsqu'il est exécuté pour la première fois, W32/Agobot-BM se copie dans le
dossier système Windows sous le nom wmplayer.exe et crée, pour être exécuté
automatiquement au démarrage, les entrées suivantes dans le registre :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Windows Media Player = wmplayer.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Windows Media Player = wmplayer.exe
Le ver fonctionne en tâche de fond sous la forme d'un processus de service
nommé "Windows Media Player".
Chaque fois que W32/Agobot-BM est exécuté, il tente de se connecter à un
serveur IRC distant, joint un canal spécifique et attend les commandes de
porte dérobée.
W32/Agobot-BM tente enfin de mettre un terme et de désactiver plusieurs
programmes de sécurité et d'empêcher la suppression de son propre processus.