Worm.Win32_Esbot-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 8201 Octet(s)

Détails techniques:

Lorsqu'il est exécuté, Esbot-A se copie dans le répertoire %System% sous le nom de fichier "mousebm.exe" et ajoute le service suivant :

Nom de service: mousebm
Nom d'affichage: Mouse Button Monitor
Emplacement de l'exécutable: %System%\mousebm.exe
Type de démarrage: Automatique
Description du service: "Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability."

Note: '%System%' est une variable de localisation. Esbot-A détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.

Le ver ajoute également un mutex nommé "mousebm" pour s'assurer de n'être exécuté qu'une seule fois.

Après s'être installé, le ver démarrage une instance du fichier "explorer.exe" et injecte du code dans le processus. Ce code permet de supprimer la version originale du ver après avoir été démarré.

Afin de se répandre, Estbot-A tente d'exploiter une vulnérabilité de type "buffer overflow" dans le service Plug and Play de Microsoft Windows. Le ver scanne une plage d'adresses IP pour vérifier si elles sont vulnérables via le port 445.

Le ver peut être utilisé comme porte dérobée commandée par IRC pour permettre un accès distant non autorisé à la machine infectée.

Le ver se connecte à un serveur IRC sur le porte 18067 et joint un canal particulier. Il attend ensuite des instructions de ce canal. Le ver peut ainsi effectuer les opérations suivantes sur une machine infectée :
- Se mettre à la recherche d'autres machines vulnérables
- Lancer des attaques de déni de service
- Télécharger des fichiers via HTTP et les exécuter
- Modifier les paramètres systèmes via la base de registre

Le ver ajoute également les entrées suivantes dans la base de registre :

HKLM\software\microsoft\ole\enabledcom = "n"
HKLM\system\currentcontrolset\control\lsa\restrictanonymous = 1


La première modification désactive le support DCOM dans Windows.
La deuxième modification désactive l'énumération des comptes utilisateurs via une machine distante.




http://www.aideinfo.com/