Worm.Win32_Esbot-B
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 8184 Octet(s)
Détails techniques:
Quand il est exécuté, Esbot-B se copie sous le nom %System%\mousesync.exe et ajoute le service suivant :
Nom de service: mousesync
Nom d'affichage: Mouse Synchronization
Emplacement de l'exécutable: %System%\mousesync.exe
Type de démarrage: Automatique
Description du service: "Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability."
N.B. : Esbot-B détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Il crée également un mutex nommé "mousesync" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.
Après s'être installé, le ver démarre une instance du fichier "explorer.exe" et injecte du code dans le processus. Ce code permet de supprimer la version originale du ver après avoir été démarré.
Afin de se répandre, Estbot-B tente d'exploiter une vulnérabilité de type "buffer overflow" dans le service Plug and Play de Microsoft Windows. Le ver scanne une plage d'adresses IP pour vérifier si elles sont vulnérables via le port 445.
Pour plus d'informations, veuillez consulter le Microsoft Security Bulletin MS05-039.
Le ver peut être utilisé comme porte dérobée commandée par IRC pour permettre un accès distant non autorisé à la machine infectée.
Le ver se connecte sur un serveur IRC sur le port 18067 et joint un canal particulier. Il reste en attente de commande d'un utilisateur malveillant qui peut ainsi :
- Se mettre à la recherche d'autres machines vulnérables
- Lancer des attaques par déni de service (DoS)
- Télécharger des fichiers via HTTP et les exécuter
Esbot-B en profite pour modifier les entrées de registre suivantes :
HKLM\software\microsoft\ole\enabledcom = "n"
HKLM\system\currentcontrolset\control\lsa\restrictanonymous = 1
La première entrée de registre désactive le support DCOM de Windows et la deuxième empêche l'énumération des comptes sur les machines distantes.
Le ver crée aussi le fichier %Windir%\Debug\dcpromo.log. Ce fichier, accessible en lecture seule, peut empêcher le composant LSASS de Windows d'être exploité par un buffer overflow. Pour plus d'informations, veuillez consulter le Microsoft Security Bulletin MS05-011.
N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.
Toutes ces manipulations, misent en place par le ver, sont probablement faîtes afin d'éviter qu'un autre ver contamine la même machine.
Taille: 8184 Octet(s)
Détails techniques:
Quand il est exécuté, Esbot-B se copie sous le nom %System%\mousesync.exe et ajoute le service suivant :
Nom de service: mousesync
Nom d'affichage: Mouse Synchronization
Emplacement de l'exécutable: %System%\mousesync.exe
Type de démarrage: Automatique
Description du service: "Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability."
N.B. : Esbot-B détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Il crée également un mutex nommé "mousesync" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.
Après s'être installé, le ver démarre une instance du fichier "explorer.exe" et injecte du code dans le processus. Ce code permet de supprimer la version originale du ver après avoir été démarré.
Afin de se répandre, Estbot-B tente d'exploiter une vulnérabilité de type "buffer overflow" dans le service Plug and Play de Microsoft Windows. Le ver scanne une plage d'adresses IP pour vérifier si elles sont vulnérables via le port 445.
Pour plus d'informations, veuillez consulter le Microsoft Security Bulletin MS05-039.
Le ver peut être utilisé comme porte dérobée commandée par IRC pour permettre un accès distant non autorisé à la machine infectée.
Le ver se connecte sur un serveur IRC sur le port 18067 et joint un canal particulier. Il reste en attente de commande d'un utilisateur malveillant qui peut ainsi :
- Se mettre à la recherche d'autres machines vulnérables
- Lancer des attaques par déni de service (DoS)
- Télécharger des fichiers via HTTP et les exécuter
Esbot-B en profite pour modifier les entrées de registre suivantes :
HKLM\software\microsoft\ole\enabledcom = "n"
HKLM\system\currentcontrolset\control\lsa\restrictanonymous = 1
La première entrée de registre désactive le support DCOM de Windows et la deuxième empêche l'énumération des comptes sur les machines distantes.
Le ver crée aussi le fichier %Windir%\Debug\dcpromo.log. Ce fichier, accessible en lecture seule, peut empêcher le composant LSASS de Windows d'être exploité par un buffer overflow. Pour plus d'informations, veuillez consulter le Microsoft Security Bulletin MS05-011.
N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.
Toutes ces manipulations, misent en place par le ver, sont probablement faîtes afin d'éviter qu'un autre ver contamine la même machine.
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
