Mô tả chi tiết:
- Trong lần chạy đầu tiên, W32/Agobot-GA sẽ nhân bản vào thư mục Windows dưới cái tên windns32.exe; và để có thể tự động chạy khi hệ thống khởi động, Trojan này sẽ tạo ra giá trị trong khoá registry tại:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinDNS
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\WinDNS
- Mỗi lần W32/Agobot-GA được kích hoạt, nó sẽ tiến hành kết nối tới một máy chủ IRC từ xa và truyền thông tin trên một kênh đặc biệt. Nếu kết nối thành công, Trojan sẽ tạo điều kiện cho kẻ tấn công đột nhập và kiểm soát máy tính thông qua các kênh IRC.
- W32/Agobot-GA sẽ cố chấm dứt và vô hiệu hoá một cách bất hợp pháp các process liên quan tới ứng dụng chống virus, bảo mật và tiến hành sửa đổi file HOSTS tại vị trí: %Windows%\System32\Drivers\etc\HOSTS.
- W32/Agobot-GA ánh xạ các website sau tới địa chỉ 127.0.0.1 (địa chỉ loopback) để ngăn không cho máy tính nhiễm virus kết nối tới chúng:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com