W32.Esbot.A

2005年 8月 15日

2007年 2月 13日 12:41:29 PM

CME-354, Win32.Esbot.{A, B} [Computer Associates], Backdoor.Win32.IRCBot.es [Kasp, W32/IRCbot.gen [McAfee], W32/Sdbot-ACG [Sophos], BKDR_RBOT.BD [Trend Micro]

Worm

8,201 bytes

* 病毒定義（每周 LiveUpdate™） 2005 年 8 月 15 日

* 病毒定義（智慧型更新程式） 2005 年 8 月 15 日

廣度

* 廣度級別： Medium

* 感染數量： 50 - 999

* 站點數量： More than 10

* 地理位置分布： Low

* 威脅抑制： Easy

* 清除： Moderate

* 損壞級別： Medium

* 有效負載： Opens a back door that allows a remote attacker to have unauthorized access to the compromised computer.

* 導致系統不穩定： Stopping or disabling the Mouse Button Monitor service results in system instability.

* 分發級別： Medium

* 連線埠： TCP port 18067.

* 感染目標： Targets computers are vulnerable to the Microsoft Windows Plug and Play Service Vulnerability (MS05-039)

W32.Esbot.A 蠕蟲在運行時會執行下列操作：

1. 創建互斥體 "mousebm" 以便僅有蠕蟲的一個副本可在受感染的計算機中運行。

2. 將自身複製為 %System%\mousebm.exe 並將自己作為服務運行：

服務名稱： mousebm

顯示名： 滑鼠鍵監控

說明： 禁用計算機以同步維護 PS/2 點設備。停止或禁用該服務將導致系統不穩定。

可執行的路徑： %System%\mousebm.exe

注意： %System% 是一個變數，它表示 System 資料夾。默認情況下，此資料夾為 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、或 C:\Windows\System32 (Windows XP)。

3. 將自身植入 explorer.exe。

4. 修改該值：

"EnableDCOM" = "N"

在下列註冊表子項中：

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole

禁用 DCOM。

5. 將值：

"restrictanonymous" = "1"

添加到註冊表子項：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

以限制對網路共享的匿名訪問。

6. 創建下列唯讀檔案：

%Windir%\debug\dcpromo.log

注意： %Windir% 是指向 Windows 安裝資料夾的變數。默認情況下，是 C:\Windows 或 C:\Winnt。

7. 通過 TCP 連線埠 30722 連線以下 IRC 伺服器之一以監聽 IRC 命令：

* esxt.is-a-fag.net

* esxt.legi0n.net

8. IRC 命令使攻擊者可以執行以下操作：

* 下載並執行檔案

* 列出、停止以及啟動進程和執行緒

* 啟動拒絕服務 (DoS) 攻擊

* 查找本地硬碟中的檔案

* 掃描計算機並嘗試利用 Microsoft Windows 即插即用緩衝區溢出漏洞（在 Microsoft Security Bulletin MS05-039 中有所描述）。如果成功，則該蠕蟲可傳送外殼代碼至遠程計算機。

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。

* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。

* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

以下指導適用於所有最新和最近的 Symantec 防病毒產品（包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品）。

1. 禁用系統還原 (Windows Me/XP)。

2. 更新病毒定義。

3. 如果有，則終止蠕蟲服務。

4. 終止蠕蟲進程或重新啟動計算機。

5. 運行完整的系統掃描，並刪除所有已檢測的檔案。

6. 刪除添加到註冊表的任何值。

有關每個步驟的詳細信息，請參閱以下說明。

1. 禁用系統還原 (Windows Me/XP)

如果正在運行 Windows Me 或 Windows XP，建議您暫時關閉系統還原功能。默認情況下啟用此功能，一旦計算機中的檔案被破壞，Windows Me/XP 可使用此功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。

Windows 禁止包括防病毒程式在內的外部程式修改系統還原。因此，防病毒程式或工具無法清除 System Restore 資料夾中的威脅。這樣，系統還原就可能將受感染檔案還原到計算機上，即使您已經清除了所有其他位置的受感染檔案。

此外，病毒掃描也可能在 System Restore 資料夾中檢測到威脅，即使您已清除此威脅。

有關如何關閉系統還原功能的指導，請參閱 Windows 文檔或下列文章之一：

* "如何禁用或啟用 Windows Me 系統還原

* "如何關閉或打開 Windows XP 系統還原”

注意：當您完全完成防毒步驟，並確定威脅已清除後，按照上述文檔中的指導重新啟用系統還原。

有關其它信息，以及禁用 Windows Me 系統還原的其它方法，請參閱 Microsoft 知識庫文章：Antivirus Tools Cannot Clean Infected Files in the _Restore Folder（文章 ID：Q263455）。

2. 更新病毒定義

Symantec 安全回響中心在我們的伺服器上發布任何病毒定義之前，會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義：

* 運行 LiveUpdate，這是獲得病毒定義最簡便的方法：如果未出現重大的病毒爆發情況，這些病毒定義會在 LiveUpdate 伺服器上每周發布一次（一般為星期三）。要確定是否可通過 LiveUpdate 獲得用於此威脅的定義，請參閱病毒定義 (LiveUpdate)。

* 使用“智慧型更新程式”下載病毒定義：智慧型更新程式病毒定義每天發布一次。您應當從 Symantec 安全回響中心網站下載定義並手動安裝它們。要確定是否可通過智慧型更新程式獲得用於此威脅的定義，請參閱病毒定義（智慧型更新程式）。

可由此處獲得最新的智慧型更新程式病毒定義：智慧型更新程式病毒定義。有關詳細說明，請參閱文檔：如何使用智慧型更新程式更新病毒定義檔案。

3. 終止蠕蟲服務

1. 單擊“開始”>“運行”。

2. 鍵入 services.msc

3. 單擊“確定”。

4. 找到“滑鼠鍵監控”服務，用滑鼠右鍵單擊它，然後選擇“屬性”。

5. 將“啟動類別”更改為“已禁用”，然後單擊“確定”

6. 退出服務管理控制台。

4. 終止蠕蟲進程或重新引導計算機。

5. 掃描和刪除受感染檔案

1. 啟動 Symantec 防病毒程式，並確保已將其配置為掃描所有檔案。

* 對於 Norton AntiVirus 單機版產品：請參閱文檔：如何配置 Norton AntiVirus 以掃描所有檔案。

* 對於 Symantec AntiVirus 企業版產品：請參閱文檔： 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。

2. 運行完整的系統掃描。

3. 如果檢測到任何檔案，請單擊“刪除”。

要點： 如果無法啟動 Symantec 防病毒產品或該產品報告其無法刪除檢測到的檔案，則需要消除危險停止運行以便將其刪除。要完成此操作，請在安全模式下運行掃描。有關說明，請參閱文檔： 如何以安全模式啟動計算機。以安全模式重新啟動後，再次運行掃描。

刪除檔案後，以正常模式重新啟動計算機，然後繼續執行下一部分。

計算機重新啟動時可能會顯示警告訊息，因為此時可能尚未完全清除威脅。可以忽略這些訊息並單擊“確定”。徹底完成清除操作之後，再重新啟動計算機時不會出現這些訊息。所顯示訊息可能會類似於以下所示：

標題： [檔案路徑]

訊息正文： Windows 無法找到 [檔案名稱]。請確保鍵入了正確的名稱，然後重試。要搜尋檔案，請單擊“開始”按鈕，然後單擊“搜尋”。

6. 從註冊表刪除值

要點： Symantec 強烈建議在更改註冊表之前先進行備份。錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。應只修改指定的子鍵。有關說明，請參閱文檔：如何備份 Windows 註冊表。

1. 單擊“開始”>“運行”。

2. 鍵入 regedit

3. 單擊“確定”。

注意： 如果無法打開註冊表編輯器，則威脅可能已經修改了註冊表以防止進入註冊表編輯器。Security 安全回響中心已開發了一種工具以解決此問題。下載並運行此工具，然後繼續防毒。

4. 導航到下列子項：

HKEY_LOCAL_MACHINE\Software\Microsoft\OLE

5. 在右窗格中，重設該值：

"EnableDCOM" = "N"

6. 導航到下列子項：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

7. 在右窗格中，重設該值：

"restrictanonymous" = "1"

8. 退出註冊表編輯器。

描述者： Yana Liu