W32.Esbot.A

1. 创建互斥体 "mousebm" 以便仅有蠕虫的一个副本可在受感染的计算机中运行。
   
   
2. 将自身复制为 %System%\mousebm.exe 并将自己作为服务运行：
   
   服务名称： mousebm
   显示名： 鼠标键监控
   说明： 禁用计算机以同步维护 PS/2 点设备。停止或禁用该服务将导致系统不稳定。
   可执行的路径： %System%\mousebm.exe
   
   注意： %System% 是一个变量，它表示 System 文件夹。默认情况下，此文件夹为 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、或 C:\Windows\System32 (Windows XP)。
   
   
3. 将自身植入 explorer.exe。
   
   
4. 修改该值：
   
   "EnableDCOM" = "N"
   
   在下列注册表子项中：
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
   
   禁用 DCOM。
   
   
5. 将值：
   
   "restrictanonymous" = "1"
   
   添加到注册表子项：
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
   
   以限制对网络共享的匿名访问。
   
   
6. 创建下列只读文件：
   
   %Windir%\debug\dcpromo.log
   
   注意： %Windir% 是指向 Windows 安装文件夹的变量。默认情况下，是 C:\Windows 或 C:\Winnt。
   
   
7. 通过 TCP 端口 30722 连接以下 IRC 服务器之一以监听 IRC 命令：
   
   
   • esxt.is-a-fag.net
   • esxt.legi0n.net
     
     
8. IRC 命令使攻击者可以执行以下操作：
   
   • 下载并执行文件
   • 列出、停止以及启动进程和线程
   • 启动拒绝服务 (DoS) 攻击
   • 查找本地硬盘中的文件
   • 扫描计算机并尝试利用 Microsoft Windows 即插即用缓冲区溢出漏洞（在 Microsoft Security Bulletin MS05-039 中有所描述）。如果成功，则该蠕虫可发送外壳代码至远程计算机。
     

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

• 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。 这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。
• 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。
• 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。
• 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。
• 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。
• 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
• 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。