瑞星卡卡安全论坛

其它名称：W32/Backdoor.EUR (F-Secure), W32.Esbot.A (Symantec), Win32/IRCBot.8201!Trojan , BKDR_RBOT.BD (Trend), Win32.Rbot.DGH , W32/Sdbot-ACG (Sophos), Backdoor.Win32.IRCBot.es (Kaspersky)
病毒属性：蠕虫病毒  危害性：高危害  流行程度：中
具体介绍：

病毒特性：
Win32.Esbot.A是一种通过微软即插即用中的漏洞可能允许远程执行代码和特权提升 (MS05-039)进行传播的蠕虫。蠕虫作为一个IRC控制后门，允许未经授权的进入被感染的机器。蠕虫是大小为8,201字节，以MEW格式加壳的Win32 可运行程序。


感染方式：
运行时，Esbot.A复制自身%System%\mousebm.exe，并添加以下服务：
Service name: mousebm
Display name: Mouse Button Monitor
Path to executable: %System%\mousebm.exe
Startup type: Automatic
Service description: "Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability."

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

蠕虫运行时生成一个名为mousebm的互斥体，以确保每次只有一个副本运行。

安装后，蠕虫启动一个explorer.exe，并注入代码。这个代码删除蠕虫运行后的原始副本。


传播方式 :
通过漏洞传播
蠕虫尝试攻击微软即插即用中的漏洞进行传播。蠕虫为潜在目标搜索任意IP地址，通过445端口查找存在漏洞的系统。如果能够成功，蠕虫会通过IRC控制的后门接受指令。

可以通过以下站点下载相关的微软的系统补丁：
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx


危害
后门功能
蠕虫可以利用IRC控制后门，允许远程用户未经允许的进入被感染的机器。

蠕虫通过18067端口连接IRC服务器，并加入特定的信道，等到指令。蠕虫接受指令在被感染机器上执行以下操作：
§ 通过微软即插即用中的漏洞扫描其它机器进行传播。
§ 启动拒绝服务攻击
§ 利用HTTP下载文件并运行


通过注册表修改系统设置
蠕虫设置以下键值：
HKLM\software\microsoft\ole\enabledcom = "n"
HKLM\system\currentcontrolset\control\lsa\restrictanonymous = 1

第一个键值的更改，使Windows中的DCOM功能失效。

第二个键值的更改，禁止枚举远程机器帐户。

它还会生成一个名为%Windows%\Debug\dcpromo.log的空文件。这是一个只读文件，它能够停止攻击Microsoft Windows LSASS缓冲器溢出漏洞。关于漏洞补丁的信息请参阅以下站点：
http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx

蠕虫的这些操作放到合适的地方，可以保护机器不受到其它通过共享和漏洞传播的蠕虫的危害，包括前面提到的LSASS漏洞，以及Microsoft Windows RPCSS DCOM信息缓冲器溢出漏洞。这个漏洞可以参阅以下站点：
http://www.microsoft.com/technet/security/bulletin/MS03-039.asp

注：%Windows%是一个可变路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt，windows95/98/me中默认的安装路径是C:\Windows，windowsXP中默认的安装路径是C:\Windows。

清除：
KILL安全胄甲InoculateIT v23.70.10；Vet 11.x/9338 版本可检测/清除此病毒。

kill版本：