【病毒预警】W32.Esbot.A(又一个通过MS05-039漏洞传播的蠕虫)
病毒名:W32.Esbot.A
Backdoor.Win32.IRCBot.es [Kaspersky Lab], W32/IRCbot.gen [McAfee], W32/Sdbot-ACG [Sophos], BKDR_RBOT.BD [Trend Micro]
类型:蠕虫
长度:8,201 bytes
影响系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
病毒行为
1 创建互斥量mousebm和mousemm,使蠕虫运行
2 复制病毒
%System%\mousebm.exe
%System%\mousemm.exe
3 注册服务
服务名: mousebm
描述:Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability.
服务名: mousemm
描述:Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability.
4 把自己挂在到explorer.exe上
5 修改注册表
使HKEY_LOCAL_MACHINE\Software\Microsoft\Ole中的"EnableDCOM" 值变成 "N",破坏DCOM(注:Microsoft的分布式COM(DCOM)扩展了组件对象模型技术(COM),使其能够支持在局域网、广域网甚至Internet上不同计算机的对象之间的通讯)
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中加入"restrictanonymous" = "1"
6 创建只读文件%Windir%\debug\dcpromo.log
7 创建IRC连接,并等待命令
如果接到命令,可以进行一下活动
(1)下载或者删除文件
(2)中止程序
(3)进行DoS攻击
(4)从本地硬盘搜索文件
(5)寻找存在漏洞的机子,并试图传播
请各位注意防护,尽早打上补丁!
