W32/Agobot-BV

Veuillez suivre les instructions de suppression des vers.

Vérifiez vos mots de passe administrateur ainsi que la sécurité de votre réseau. Si elles sont présentes, vous devrez aussi modifier les entrées suivantes du registre. Veuillez lire l'avertissement concernant la modification du registre. Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre. Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup. Recherchez les entrées HKEY_LOCAL_MACHINE : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Sound Loader = sndloader.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Sound Loader = sndloader.exe et supprimez-les si elles existent. Fermez l'éditeur du registre.

W32/Agobot-BV est un cheval de Troie de porte dérobée IRC et un ver de réseau. W32/Agobot-BV est capable de se propager sur des ordinateurs du réseau local protégés par des mots de passe triviaux. Lorsqu'il est exécuté pour la première fois, W32/Agobot-BV se copie sous la nom syscfg.exe dans le dossier système Windows et crée dans le registre, pour être exécuté automatiquement au démarrage, les entrées suivantes : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Sound Loader = sndloader.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Sound Loader = sndloader.exe A chaque exécution, W32/Agobot-BV tente de se connecter à un serveur IRC distant et de joindre un canal spécifique. W32/Agobot-BV fonctionne alors en permanence en tâche de fond, permettant à l'intrus distant d'accéder via les canaux IRC à l'ordinateur et de contrôler ce dernier. W32/Agobot-BV tente enfin de mettre un terme à plusieurs processus associés aux logiciels antivirus et de sécurité et d'empêcher la suppression de son propre processus.