http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=BKDR_AGOBOT.JX
■ウィルス名：BKDR_AGOBOT.JX（Trendからの情報抜粋）
１．対応パターン
　　848
２．動作
　TCP/6667で攻撃者からのコマンドを待つ
　　攻撃者は以下のコマンドが実行可能
　　webcam 経由で画面をキャプチャーできる。
　　自分自身のアップデートをダウンロードする
　　IRC コマンドの実行
　　ping の実行
　　CD keyを盗む
　　キーストロークを盗む
　　タスクマネージャー等を停止する。
３．感染する端末
　　Windows 95, 98, ME, NT, 2000 and XP.
４．システム改変
　以下のファイルを設置する。

　%System%\peere32.exe
　%System%\quuerr.exe

以下のレジストリーキーを追加する。
　（自動起動設定（ユーザー・端末Admin権限でログイン・起動時に実行する））

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>RunServices
HKEY_CURRENT_USER>Software>Microsoft>Windows>
CurrentVersion>Run
HKEY_USERS>.DEFAULT >Software>Microsoft>Windows>
CurrentVersion>Run
に以下のレコードを追加する。
Peer Manager = “peere32.exe”

Windows2000、XPの場合はサービスとして以下の行を追加する

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\S1TRACE
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_S1TRACE

キーロギングの結果は、以下のファイルに格納される。

%System%\PENE.G

■かなり内部繁殖、taskmanagerが死にます・・・
　８４８以降で対応です。
　なんか、WORMの動きをしている模様。
　200台近く感染している。さすがにWORMじゃないとこの台数はないだろう・・・

　Trendmicroは　BKDR_AGOBOT.JX　で検知しています。
　Symantecは　W32.Randex.gen　で検知しています。

　０４月０２日００時に感染活動を始めているようです。
　うーん、わからん。
書き忘れていたが、、、

　peere32.exeファイルが感染ファイル。
　キーロギングを行い、6667（IRC)のバックドアを開く

　０Ｄａｙかもしれません。
　だから、Trendmicroも慎重に情報を出しているのかなぁ・・・
　1577/TCP、1578/TCPを利用して、拡散している？！

ISCからも、More agobot/phatbot/polybot variants, cPanel resetpass exploit
とのこと。

http://isc.sans.org/diary.php?date=2004-04-02&isc=123fba0f4e0aaa970e3ec5286771e064

追記（2004念04且07曰）

Trendからダメージクリーンナップサービス（ベータ版）にて、BKDR_AGOBOT.JXが駆除できます。
以下からダウンロードください。TSC-307-V11
http://www.trendmicro.com/download/pattern-dcs.asp