瑞星卡卡安全论坛

病毒名：W32.Esbot.A
Backdoor.Win32.IRCBot.es [Kaspersky Lab], W32/IRCbot.gen [McAfee], W32/Sdbot-ACG [Sophos], BKDR_RBOT.BD [Trend Micro]
类型：蠕虫
长度：8,201 bytes
影响系统：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

病毒行为

1 创建互斥量mousebm和mousemm，使蠕虫运行

2 复制病毒
%System%\mousebm.exe
%System%\mousemm.exe

3 注册服务
服务名: mousebm
描述：Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability.

服务名: mousemm
描述：Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability.


4 把自己挂在到explorer.exe上

5 修改注册表
使HKEY_LOCAL_MACHINE\Software\Microsoft\Ole中的"EnableDCOM" 值变成 "N"，破坏DCOM（注：Microsoft的分布式COM（DCOM）扩展了组件对象模型技术（COM）,使其能够支持在局域网、广域网甚至Internet上不同计算机的对象之间的通讯）

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中加入"restrictanonymous" = "1"

6 创建只读文件%Windir%\debug\dcpromo.log

7 创建IRC连接，并等待命令
如果接到命令，可以进行一下活动
（1）下载或者删除文件
（2）中止程序
（3）进行DoS攻击
（4）从本地硬盘搜索文件
（5）寻找存在漏洞的机子，并试图传播



请各位注意防护，尽早打上补丁！

谢谢提醒.

W32.Esbot.A免费专杀工具（在附件中）。
注意：使用TPF2005防火墙的用户，必须禁用“windows security”，才能使用本专杀工具。

附件: 1558472005817171657.rar

引用:

【baohe的贴子】W32.Esbot.A免费转杀工具（在附件中）。 注意：使用TPF2005防火墙的用户，必须禁用“windows security”，才能使用本专杀工具。 ...........................

你怎么什么都有……

哦,收到

引用:

【天下奇才的贴子】 你怎么什么都有…… ...........................

给我身边那些MM们准备的。中招后，她们只会向你要解决办法，就是不肯让你装些必要的工具软件。都是些“实用主义者”。

W32.Esbot.B已经发现！

又有新变种~~,哎~~

帮忙顶
让更多的朋友看到