Un worm-backdoor

di Pasquale Miele

scritto il

Si tratta di un malware che cela la sua identità sotto più nomi: Backdoor.Win32.Agobot.gen, W32/Gaobot.worm.gen.q, WORM_AGOBOT.ACE. È un worm che integra però anche funzionalità di backdoor e si diffonde nei PC protetti da password facili da scovare.

Una volta infettato il PC, il malware si connette da remoto ad un canale IRC continuando a fare il suo lavoro in background, permettendo che un cyber criminale prenda il controllo del computer usando un server di Instant Messagging.

Inoltre, tale worm, è anche capace di rubare alcune informazioni, quali le Key di licenza Software e tutte le informazioni battute con la tastiera (keylogger). I PC colpiti vengono usati per eseguire attacchi DDoS (Zombie): il worm imposta un proxy SOCKS4 in modo tale da rendere difficile il rilevamento dell’IP dei cyber criminali.

Backdoor.Win32.Agobot.gen tenta di disattivare tutti gli antivirus del vostro PC e le relative barriere di sicurezza modificando anche il file Hosts.

Infine bypassa il registro di Windows modificando le due chiavi: HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunServices e HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run. Se alla fine di queste chiavi di registro troverete scritto SMSvc32 smsvc32.exe allora dovrete cancellarle.