W32/Agobot-EX ist ein IRC-Backdoor-Trojaner und ein Netzwerkwurm.
Wenn er erstmals ausgeführt wird, kopiert sich W32/Agobot-EX mit dem Dateinamen soundman.exe in den Windows-Systemordner. Die folgenden Registrierungseinträge werden erstellt, damit der Wurm gestartet wird, wenn sich ein Benutzer an Windows anmeldet, allerdings entstehen aufgrund eines Fehlers die folgenden sinnlosen Werte:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
^`d}qZxu= ~`d}qzxu3zYF
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
^`d}qZxu= ~`d}qzxu3zYF
W32/Agobot-EX registriert sich als Dienst, der beim Start von Windows aktiviert wird. Der Name des Dienstes lautet SoundMan.
W32/Agobot-EX verbindet sich mit einem remoten IRC-Server und einem bestimmten Kanal. Ein Angreifer kann über das IRC-Netzwerk auf die Backdoor-Funktion des Wurms zugreifen. Ein Angreifer kann dann Befehle senden, entsprechend derer der Wurm nach anfälligen Computern sucht, auf die er sich kopieren kann.
Der Wurm versucht außerdem, verschiedene Sicherheitsprogramme zu beenden und zu deaktivieren.