W32/Agobot-EV

Vea la información para eliminar gusanos.

W32/Agobot-EV es un gusano de redes y un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de TCP.

El gusano se copia en la carpeta System32 de Windows con el nombre regsvc32.exe y crea las siguientes entradas en el registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Generic Service Process = regsvc32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ Generic Service Process = regsvc32.exe

W32/Agobot-EV intentará terminar diferentes procesos relacionados con productos antivirus y de seguridad, además de otros virus, gusanos y troyanos.

El gusano intentará copiarse a unidades compartidas de red con contraseñas no seguras.

W32/Agobot-EV puede comprobar tráfico HTTP, VULN, FTP e IRC para obtener información. El gusano se aprovecha de la vulnerabilidad DCOM para modificar las claves del registro en equipos no protegidos.

El gusano también puede comprobar el ancho de banda disponible utilizando los comandos GET o POST a los siguientes sitios Web:

yahoo.co.jp www.nifty.com www.d1asia.com www.st.lib.keio.ac.jp www.lib.nthu.edu.tw www.above.net www.level3.com nitro.ucsc.edu www.burst.net www.cogentco.com www.rit.edu www.nocster.com www.verio.com www.stanford.edu www.xo.net de.yahoo.com www.belwue.de www.switch.ch www.1und1.de verio.fr www.utwente.nl www.schlund.net

W32/Agobot-EV también puede ser utilizado para iniciar ataques DoS contra sitios Web.

El gusano también intentará obtener las claves de productos Windows y de otros programas y juegos.

W32/Agobot-EV también podría modificar el archivo HOSTS para que el usuario no pueda acceder a ciertos sitios Web.