Virus Update

[atokENSEM]

tu virus lame..virus baru takde ke?kwn atok ckp..virus.kiss.u yg plg br!atok nak keastian je..tul ke?

[StRiDeR]

atok_ENSEM said:

tu virus lame..virus baru takde ke?kwn atok ckp..virus.kiss.u yg plg br!atok nak keastian je..tul ke?

x tau lah...tapi info terkini yg saya dapat...paling baru virus "W32/MyDoom-B"....(ditemui pada 30hb Januari)....

[atokENSEM]

StRiDeR said:

x tau lah...tapi info terkini yg saya dapat...paling baru virus "W32/MyDoom-B"....(ditemui pada 30hb Januari)....

oo..camtu..virus tu bkn awal januari ke?

[StRiDeR]

atok_ENSEM said:

oo..camtu..virus tu bkn awal januari ke?

memang lah....tapi kan virus nie byk version dier....yg awal bulan januari tue...."W32/MyDoom-A" kot....nie versi baru...."W32/MyDoom-B"....cuba atok pegi website antivirus....mesti atok nampak kebanyakkan virus/worm/trojan dan dll mempunyai nama yg sama...cuma tambah "-A, -B...dan sebagainya"...sebagai contoh...W32/Mimail-Q dan W32/Mimail-S...nama lebih kurang sama jer...tapi sebab versi berlainan dier tambah skit kat belakang tue....dan cara dier menyerang pun berlainan skit....

[StRiDeR]

W32/Eyeveg-B
Type
Win32 worm

Detection
A virus identity (IDE) file which provides protection is available now from the Latest virus identities section, and will be incorporated into the March 2004 (3.79) release of Sophos Anti-Virus.


Enterprise Manager customers will receive the IDE automatically at their next scheduled update.

At the time of writing, Sophos has received just one report of this worm from the wild.


Description
W32/Eyeveg-B is a password stealing Trojan and network worm.
The worm may arrive in an HTML file that exploits a Microsoft Internet Explorer vulnerability which allows the worm to be executed.

For further information on this vulnerability and for details on how to protect/patch the computer against such attacks please see Microsoft security bulletin
MS02-015.

When first run, W32/Eyeveg-B copies itself to the Windows System folder using a random filename and adds its pathname to the following registry entry so that it is run automatically each time the computer is started:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

W32/Eyeveg-B the attempts to send cached passwords and system information to a remote location.

W32/Eyeveg-B spreads to shared drives on the local network, copying itself to the startup folder specified in the following registry entry:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders\Common Startup


Recovery
Please follow the instructions for removing worms.

[StRiDeR]

W32/MyDoom-B
Aliases
W32/Mydoom.b@MM, I-Worm.Mydoom.b

Type
Win32 worm

Detection
A virus identity (IDE) file which provides protection is available now from the Latest virus identities section, and will be incorporated into the March 2004 (3.79) release of Sophos Anti-Virus.


Enterprise Manager customers will receive the IDE automatically at their next scheduled update.

At the time of writing, Sophos has received no reports from users affected by this worm. However, we have issued this advisory following enquiries to our support department from customers.

Note: Sophos has been detecting W32/MyDoom-B since 19:22 GMT on 28 January. This new IDE has been issued to enhance detection.


Description
W32/MyDoom-B is a worm which spreads by email. When the infected attachment is launched, the worm harvests email addresses from address books and from files with the following extensions: WAB, TXT, HTM, SHT, PHP, ASP, DBX, TBB, ADB and PL.
W32/MyDoom-B creates a file called Message in the temp folder and runs Notepad to display the contents, which displays random characters.

W32/MyDoom-B uses randomly chosen email addresses in the "To:" and "From:" fields as well as a randomly chosen subject line. The emails distributing this worm have the following characteristics.

Subject lines
Mail Transaction Failed
Unable to deliver the message
Status
Delivery Error
Mail Delivery System
hello
hi
Error
Server Report
Returned mail
[random collection of characters]

Message texts
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.

Attachment filenames
body
text
document
data
file
readme
message
doc
[random collection of characters]

Attached files may have one or two extensions. The first extension may be DOC, TXT or HTM and the second BAT, CMD, EXE, PIF, SCR or ZIP.

The worm can also copy itself into the shared folder of the KaZaA peer-to-peer application with one of the following filenames and a PIF, EXE, SCR or BAT extension:

NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final

W32/MyDoom-B creates a file called explorer.exe in the system folder and adds the following registry entry to run this file every time Windows starts up:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ =
<system folder>\explorer.exe

Please note that there is a legitimate file called explorer.exe in the Windows
folder.

W32/MyDoom-B also drops a file named ctfmon.dll to system folder. This is a backdoor program loaded by the worm that allows outsiders to connect to TCP port 1080. The DLL adds the following registry entry so that it is run on startup:

HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
Default= "<location of dll>"

Between 1 February and 1 March 2004, there is a 20% chance that the worm will attempt a denial of service attack against www.sco.com, sending numerous GET requests to the web server. Between 3 February and 1 March 2004 there is a 30% chance that the worm will attempt the same denial of service attack against www.microsoft.com.

Hidden inside the worm's code is the following piece of text which does not get displayed: (sync-1.01; andy; I'm just doing my job, nothing personal, sorry)

After the 1 March W32/MyDoom-B will no longer spread, due to an expiry date set in the code. It will, however, still run the backdoor component.

W32/MyDoom-B will also create a file named hosts in the Windows folder in an
attempt to render the computer unable to contact the following websites:

engine.awaps.net
awaps.net
www.awaps.net
ad.doubleclick.net
spd.atdmt.com
atdmt.com
click.atdmt.com
clicks.atdmt.com
media.fastclick.net
fastclick.net
www.fastclick.net
ad.fastclick.net
ads.fastclick.net
banner.fastclick.net
banners.fastclick.net
www.sophos.com
sophos.com
ftp.sophos.com
f-secure.com
www.f-secure.com
ftp.f-secure.com
securityresponse.symantec.com
www.symantec.com
symantec.com
service1.symantec.com
liveupdate.symantec.com
update.symantec.com
updates.symantec.com
support.microsoft.com
downloads.microsoft.com
download.microsoft.com
windowsupdate.microsoft.com
office.microsoft.com
msdn.microsoft.com
go.microsoft.com
nai.com
www.nai.com
vil.nai.com
secure.nai.com
www.networkassociates.com
networkassociates.com
avp.ru
www.avp.ru
www.kaspersky.ru
www.viruslist.ru
viruslist.ru
avp.ch
www.avp.ch
www.avp.com
avp.com
us.mcafee.com
mcafee.com
www.mcafee.com
dispatch.mcafee.com
download.mcafee.com
mast.mcafee.com
www.trendmicro.com
www3.ca.com
ca.com
www.ca.com
www.my-etrust.com
my-etrust.com
ar.atwola.com
phx.corporate-ir.net
www.microsoft.com


Recovery
Please follow the instructions for removing worms.

[atokENSEM]

StRiDeR said:

memang lah....tapi kan virus nie byk version dier....yg awal bulan januari tue...."W32/MyDoom-A" kot....nie versi baru...."W32/MyDoom-B"....cuba atok pegi website antivirus....mesti atok nampak kebanyakkan virus/worm/trojan dan dll mempunyai nama yg sama...cuma tambah "-A, -B...dan sebagainya"...sebagai contoh...W32/Mimail-Q dan W32/Mimail-S...nama lebih kurang sama jer...tapi sebab versi berlainan dier tambah skit kat belakang tue....dan cara dier menyerang pun berlainan skit....

atok tau..virus ni byk cabang dlm kelompok yg same..tp virus kiss u kalo kena..comp prob!lembab gile..

[StRiDeR]

atok_ENSEM said:

atok tau..virus ni byk cabang dlm kelompok yg same..tp virus kiss u kalo kena..comp prob!lembab gile..

ooo ...cam tue....aper virus tue buat? ...atok post lah artikel tue kat sini...saya pun nak tau gak pasal virus tue...boleh?

[atokENSEM]

StRiDeR said:

ooo ...cam tue....aper virus tue buat? ...atok post lah artikel tue kat sini...saya pun nak tau gak pasal virus tue...boleh?

insyaallah..atok pun cuba mtk kat kwn..tp sampai skrg tak dpt2..

[StRiDeR]

atok_ENSEM said:

insyaallah..atok pun cuba mtk kat kwn..tp sampai skrg tak dpt2..

oooo , x pe...saya tunggu....

[StRiDeR]

W32/SdBot-W (2hb Feb)
Aliases
Backdoor.SdBot.gen, W32/Sdbot.worm.gen, BKDR_SDBOT.GEN

Type
Win32 worm

Detection
A virus identity (IDE) file which provides protection is available now from the Latest virus identities section, and will be incorporated into the March 2004 (3.79) release of Sophos Anti-Virus.


Enterprise Manager customers will receive the IDE automatically at their next scheduled update.

At the time of writing, Sophos has received just one report of this worm from the wild.


Description
W32/SdBot-W is a worm that attempts to spread to remote shares which have weak passwords. The worm also allows unauthorised remote access to the computer via IRC channels.
W32/SdBot-W copies itself to the Windows system folder as ADVAP.EXE and creates entries in the registry in the following locations to run itself on system restart:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices


Recovery
Please follow the instructions for removing worms.

[atokENSEM]

VIRUS KOMPUTER

Virus komputer adalah suatu program yang dibuat secara sengaja maupun tidak sengaja untuk mengganggu kerja komputer. Berbagai virus yang ada yaitu virus yang cuma sekedar menampilkan pesan tertentu (sekedar nampang), yang bertujuan untuk mencuri data (Trojan), merusak file tertentu atau semua file (misalnya Melissa), dan yang banyak merugikan orang adalah yang merusak semua data di hard disk ataupun menghapus BIOS (Chernobyl / CIH

).

Ada Virus yang sengaja diciptakan hanya untuk membuat kekhawatiran orang saja yang sebenarnya virus tersebuti tidak ada tetapi ada. Dimana penerima virus tersebut diminta untuk memberitahu orang lain, sehingga banyak orang ketakutan, padahal sebenarnya virusnya tidak pernah ada. Virus ini dinamakan virus Hoax (virus bohong), Contoh virus Hoax : Win A Holiday price, Good news from Jesus, dll.

Penyebaran virus dapat dilakukan dengan banyak cara, antara lain :

Menggunakan disket yang sebelumnya sudah tertular virus (dari orang lain / komputer lain). Penularan bisa terjadi baik pada saat membaca file, mengcopy file atau bahkan cuma menge-dir (melihat daftar isinya saja).

Melalui Internet. Hali ini biasanya terjadi ketika :
Menerima email yang ada attachementnya dari orang yang tidak dikenal (ataupun yang dikenal sekalipun). Email yang perlu dicurigai mengandung virus, jika ada attachement / lampiran file: *.zip, *.com, *.exe, *.doc, *.rtf, *.dll, *.xls, *.pps, *.ppt, sebaiknya diperiksa terlebih dahulu dengan antivirus. Apalagi jika anda menerima email dengan attachement bernama : Zipped_files.exe sebaiknya segera hapus file tersebut (virus worm explorer). Untuk Email tanpa attachement dipastikan bebas virus.

Mengunjungi / mendownload sesuatu di situs (alamat) tertentu, misal situs Hacker, situs porno, ataupun situs lainnya yang tidak jelas pengelolanya patut dicurigai. Apalagi dengan adanya virus baru yang dibuat dengan bahasa java, pada saat anda mengunjungi site tersebut virus java dapat langsung menulari komputer anda tanpa anda sadari. Dll.

Menggunakan Software bajakan, ada beberapa software bajakan yang beredar di Indonesia (dalam bentuk CD) yang berisikan virus antara lain : Dr. Hacker and Mrs. Crack, Power Utilities volume 2, juga beberapa CD games. Termasuk juga file MP3 yang cukup terkenal itu, beberapa diantaranya mengandung virus.

Hal yang perlu diperhatikan dalam mencegah penyebaran virus, yaitu selalu pergunakan antivirus, dengan versi yang terbaru. Scanlah Disket, CD ataupun attachement email jika anda akan membukanya. Pakailah antivirus versi terbaru. Antivirus terbaru dari Norton Antivirus (NAV) versi 5.02 (sebaiknya Norton antivirus 2000), atau Mc Afee scan versi 4.03 virus definition 4048 atau yang lebih baru. Untuk mengenai virus baru sebaiknya anda ikut mailing list majalah komputer yang cukup terkenal, misal PcMagazine, Mikrodata Antivirus, atau yang lain (dapat dilihat di www.commandcom.com ).

[atokENSEM]

Dibawah ini dijelaskan beberapa jenis virus :

Virus Elk Colner
Virus ini adalah virus yang pertama ada di sistem Unix. Ada sebagian orang yang beranggapan Unix/Linux aman terhadap gangguan dan serangan virus, karena ada tersedianya source code untuk setiap program aplikasinya. Sayangnya tidak semua pemakai Unix/Linux paham pemrograman di Unix/Linux, sehingga hanya sedikit saja orang yang mampu melacak keberadaan rutin virus pada source code tersebut. Bahaya lainnya, adalah trend Open Source pada Unix/Linux juga mempengaruhi perkembangan dunia virus saat ini. Bisa Anda bayangkan kalau virus juga mengikuti trend Open Source ini ? Maka setiap orang akan memiliki source code asli semua virus Unix/Linux. Sehingga ancamannya adalah akan semakin banyaknya variant virus Unix/Linux. Karena siapa saja bisa memodifikasi dan menyebarkannya kembali ke masyarakat pemakai.

Virus Mouse
Virus ini biasa kita temukan pada mouse. Gejalanya adalah Gejalanya adalah POINTER MOUSE suka jalan-jalan sendiri, nge-blok, ataupun meng-klik dengan sendirinya. Virus mouse ini bisa diangkat/diclear dengan norton antivirus ver 2000.

Virus Java


Virus Java ini dijabarkan oleh Symantec Anti Virus Research yang menemukan virus Java Cross-Platform melalui teknologi revolusioner Symantec "Seeker" web spyder. Virus yang ditemukan oleh SARC ini menginfeksi applet dan aplikasi Java. Nama virusnya adalah Strange Brew.


Virus Strange Brew diyakini merupakan virus pertama yang cross-platform karena mampu beroperasi diberbagai platform yang mendukung Java, sehingga dapat menyebar ke banyak variasi arsitektur komputer. SARC mengatakan bahwa virus tidak menjadi ancaman yang berarti bagi end user, tetapi cukup berpengaruh bagi para pengembang aplikasi Java.


Jika sudah menggunakan Norton AntiVirus dengan virus defi-nition yang paling baru, Anda tidak perlu khawatir karena sudah dapat mendeteksi keberadaan virus Java ini.
Sebagai virus, Strange Brew menempelkan dirinya pada program induk, dan program induk yang sudah terinfeksi itu tetap masih bisa menjalankan fungsi-fungsinya dengan baik.
Virus akan menempel pada file Java. "Class" yang merupakan file executable yang terdiri dari applet Java dan program aplikasi. File Java class ini digunakan pada berbagai sistem komputer yang medukung teknologi Java. Sehingga penyebarannya terbatas pada lingkungan komputasi yang memang sudah mendukung sepenuhnya Java. Virus Strange Bew mampu beroperasi pada berbagai platform yang menjalankan Java virtual machine, mulai dari windows95 sampai ke sistem sever Unix bahkan komputer super, Cray.


Virus ini mampu menginfeksi aplikasi Java dan apllet Java, tetapi baru menyebar pada saat aplikasi Java yang juga bervirus dijalankan. Jadi, virus memang dapat menginfeksi file applet Java, tetapi tidak setelah terinfeksi, virus tidak bisa menyebar melalui applet Java yang bervirus tadi.
Virus Strange Bew tidak membawa rutin-rutin yang membahayakan dan juga tidak menyebabkan kerusakan file executable Java. Virus tidak menyebar melalui penjelajahan internet menggunakan browser. Tetapi para pengembang aplikasi dan applet Java beresiko terhadap penginfeksian dan kerusakan file Java.class.
Aplikasi java yang sudah terinfeksi Virus Strange Bew membutuhkan waktu yang agak lama pada saat dijalankan bahkan gagal dieksekusi. Sedangkan applet Java yang sudah terinfeksi pada saat dijalankan melalui browser, akan muncul pesan kesalahan berisi nama virusnya.


Para teknisi ahli SARC telah menambahkan proteksi untuk melawan jenis virus baru menggunakan teknologi canggih NAVEX. Dengan bantuan NAVEX ini, SARC mampu mendeteksi dan membasmi virus-virus kompleks dtau jenis baru virus

Virus Trojan

Virus ini biasa kita temukan pada internet. virus ini tidak bisa dibasmi karena kebanyakan virus ini tidak menginfeksi. Sehingga tidak ada file program yang dimodifikasi seperti virus file pada umumnya. Saat ini banyak trojan yang dibuat sebagai worm, artinya menyebar dengan cara memperbanyak diri di sebanyak mungkin komputer. Mengantisipasinya? Pasanglah antivirus yang bisa mencegah trojan-trojan ini agar tidak masuk ke komputer Anda.


Trojan berbentuk worm yang dilengkapi teknologi internet sehingga bisa menyebar melalui internet cukup banyak. Beberapa trojan yang sempat membuat heboh adalah Happy, PrettyPark, dan ZippedFiles.
Untuk menangkal virus ini gunakanlah AntiViral toolkit pro 3.0 build 131 for windows 95/98/NT Workstation untuk menangkal trojan-trojan ini.


Kita juga harus berhati-hati dengan Backdoor, seperti Backdoor.BO, alias Back Office Trojan, Backdoor.DeepThroat, Backdoor.Executor, Backdoor.Netbus, Backdoor.Phase alias phase server, dan Backdoor.Sub-seven. Karena selain memiliki kemampuan sebagai trojan, backdoor juga bisa dipakai untuk mengendalikan sistem komputer dari jarak jauh.

Virus Satria.b


Virus Satria.b adalah virus boot record/partisi. Sebetulnya untuk membasminya tanpa antivirus pun mudah. Caranya:
1. booting dengan disket DOS 'bersih'
2. rusak boot record/partisi dengan program diskedit.exe
3. perbaiki lagi boot record/partisi dengan program Ndd.exe.
kalau mau praktis, gunakan antivirus for DOS saja.

Virus AutoCAD 2000


Virus yang menginfeksi AutoCAD ini diberi nama ACAD.Star. Akan tetapi virusnya belum sempurna (banyak rutin yang belum sempurna sebagai tubuh virus).
Setelah dipelajari listing programnya, kemungkinan besar virus ini menggunakan bahasa pemrograman Visual basic. Jadi lebih mirip dengan virus makro.
Karena penyebaran virus ini tidak luas, untuk berjaga-jaga gunakanlah AntiViral Toolkit Pro 3.0 for Windows.

Virus KAK


Virus ini hanya berupa souce code. Virus ini akan aktif kalau diview dengan IE HTML viewer control. Ada beberapa varian yang sangat bervariasi. Mungkin terjadi perubahan saat berpindah-pindah antar komputer. Sebetulnya Norton AntiVirus juga mendeteksi tetapi ini dilakukan setelah source code virus KAK di save dalam bentuk file teks.


Hampir semua antivirus melakukan hal seperti ini.

Virus Happy99 dan SKA


Happy99 dan SKA sebenarnya sama, bukan dua virus yang berbeda. Virus ini tidak memberikan efek apa-apa, hanya mengirimkan dirinya sendiri ke internet sebagai email attachment. Nama attachment tersebut adalah Happy99.EXE. Sistem komputer yang sudah terinfeksi virus ini sama sekali tidak mengetahui bahwa setiap email yang terkirim ke luar otomatis disusupi attachment. Jika attachment ini dijalankan, virus akan menampilkan animasi lucu untuk menutupi proses yang sedang berlangsung.


Untuk perlindungan di kemudian hari agar tidak terinfeksi lagi, buatlah atribut Read-Only pada file WSOCK32.DLL, setelah itu pasang antivirus yang up-to-date.


Jangan sekali-sekali menjalankan file attachment tersebut meskipun orangnya Anda kenal. Ukuran virus Happy99.EXE hanya 10.000 byte. Tapi file ini sudah asli hasil kompilasi Win32 Portable Executable (PE). Untungnya virus ini tidak menyebar di WinNT.


Jika Anda sedang login ke internet, WSOCK32.DLL aktif dan virus mencegat dua event: koneksi dan kirim data. Virus akan memantau port-email dan news (25 dan 119 - smtp dan nntp). Jika salah satu port ini digunakan, virus akan mengaktifkan SKA.DLL yang memiliki dua pustaka ekspor: "mail" dan "news".

Virus ILOVEYOU


Virus ini mengubah file *.MP3, *.JPG, dll menjadi *.VBS. Virus ini sudah dapat dibasmi dengan update terbaru. Tapi masalahnya semua file .MP3 dan .JPG sudah dioverwrite isinya dan ekstensinya ditambahi akhiran .VBS. Untuk mendapatkan kembali file yang rusak itu, Anda bisa menggunakan program program Ontrack Easy Recovery. Hasilnya akan lebih baik kalau Anda menggunakan FAT32 dan kerusakan baru saja terjadi.

Virus MrKlunky


Virus ini merupakan virus Win95 file TSR (VxD). Untuk bisa menginfeksi, virus menggunakan cara yang sama dengan virus "Punch". Saat file bervirus dijalankan virus akan membuat file MRKLUNKY.VXD, lalu mendaftarkannya ke sistem registry. Saat Win95 memanggil VxD ini dan dan aktif di memori, VxD akan memanggil API IFS lalu menginfeksi semua file PE EXE yang sedang dibuka. Virus akan membuat seksi baru pada file PE EXE yang diinfeksi dengan nama "MrKlunky", memodifikasi header-PE lalu menempel pada bagian akhir file.


Bugs yang terdapat pada virus ini adalah pada saat gagal infeksi - virus sudah terlanjur menempel pada bagian akhir file, tapi tidak mengubah alamat Entry point. Untuk memanggil akses file, virus menggunakan alamat aslinya pada kernel Win95. Cara ini ternyata sering menyebabkan sistem hang.
Pada root drive C: terdapat file C:LOG.LOG berisi nama-nama file yang pernah diinfeksi.

Virus Mad.2736


Virus encrypted non-TSR ini dibuat di Russia dan tidak berbahaya. Seperti virus 32-bit lainnya, Mad.2736 menginfeksi file eksekusi Windows95 (PE.EXE). Ini merupakan virus komputer Windows95 yang menggunakan enkripsi pada rutin tubuhnya. Virus tidak menyebabkan efek samping - misalnya menyebabkan komputer hang atau menimbulkan error message. Saat file bervirus dijalankan, virus mencari file PE EXE pada direktori aktif dan direktori utama, lalu menempel pada bagian akhir file. Virus tidak membuat seksi baru pada header file, tapi menyisip pada seksi terakhir, mengubah karakteristik seksi tersebut, lalu menulis ke seksi tersebut dan mengubah alamat Entry point.

[StRiDeR]

W32/Agobot-P
Aliases
Backdoor.Agobot.3.co, WORM_AGOBOT.U

Type
Win32 worm

Detection
A virus identity (IDE) file which provides protection is available now from the Latest virus identities section, and will be incorporated into the March 2004 (3.79) release of Sophos Anti-Virus.


Enterprise Manager customers will receive the IDE automatically at their next scheduled update.

At the time of writing, Sophos has received just one report of this worm from the wild.


Description
W32/Agobot-P is an IRC backdoor Trojan and network worm.
W32/Agobot-P copies itself to network shares with weak passwords and attempts to spread to computers using the DCOM RPC and the RPC locator vulnerabilities.

These vulnerabilities allow the worm to execute its code on target computers with System level priviledges. For further information on these vulnerabilities and for details on how to protect/patch the computer against such attacks please see Microsoft security bulletins MS03-001 and MS03-026. MS03-026 has been superseded by Microsoft security bulletin MS03-039.

When first run, W32/Agobot-P copies itself to the Windows System32 folder with the filename systems.exe and creates the following registry entries so that the worm is run when Windows starts up:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IISADMINS
= systems.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\IISADMINS
= systems.exe

W32/Agobot-P connects to a remote IRC server and joins a specific channel. The backdoor functionality of the worm can then be accessed by an attacker using the IRC network.

The worm also attempts to terminate and disable various security-related programs.


Recovery
Please follow the instructions for removing worms.

[StRiDeR]

W32/Agobot-CS
Aliases
W32.HLLW.Gaobot.gen

Type
Win32 worm

Detection
A virus identity (IDE) file which provides protection is available now from the Latest virus identities section, and will be incorporated into the March 2004 (3.79) release of Sophos Anti-Virus.


Enterprise Manager and PureMessage customers will be automatically protected at their next scheduled update.

At the time of writing, Sophos has received just one report of this worm from the wild.


Description
W32/Agobot-CS is an IRC backdoor Trojan and network worm that copies itself to network shares with weak passwords.
When first run, W32/Agobot-CS copies itself to the Windows system folder as spolsv.exe and creates the following registry entries to ensure it is run at system logon:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
SpoolService= spolsv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
SpoolService= spolsv.exe

Each time W32/Agobot-CS is run it attempts to connect to a remote IRC server and join a specific channel.

W32/Agobot-CS then runs continuously in the background, allowing a remote intruder to access and control the computer via IRC channels.

W32/Agobot-CS collects system information and registration keys of popular games that are installed on the computer.

The worm also attempts to terminate and disable various security-related programs.


Recovery
Please follow the instructions for removing worms.

Change any data that may have become compromised.

Check your administrator passwords and review network security.

You will also need to edit the following registry entries, if they are present. Please read the warning about editing the registry.

At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.

Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export range' panel, click 'All', then save your registry as Backup.

Locate the HKEY_LOCAL_MACHINE entries:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
SpoolService= spolsv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
SpoolService= spolsv.exe

and delete them if they exist.

Close the registry editor.