Esbot.A est un virus ciblant les ordinateurs
vulnérables à la faille Microsoft PnP annoncée le 09/08/05.
Si une machine connectée à Internet n'est pas à jour dans ses
correctifs ni protégée par un pare-feu, le virus
tente de l'infecter via le port TCP 445 sans intervention de
l'utilisateur, installe une porte dérobée autorisant
la prise de contrôle à distance de l'ordinateur,
puis scanne le réseau à la recherche de nouvelles machines vulnérables.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
de Windows doivent également mettre à
jour leur système via le site
de Microsoft ou le service WindowsUpdate
afin de corriger notamment la faille PnP exploitée
par le virus pour s'exécuter automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixEsbot pour rechercher
et éliminer le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 2000
ALIAS :
IRCBot.es (F-Secure)
Backdoor.Win32.IRCBot.es (Kaspersky)
W32/IRCbot.gen (Mc Afee)
W32/Sdbot-ACG (Sophos)
W32.Esbot.A (Symantec)
BKDR_RBOT.BD (Trend Micro)
Win32.Mousey
Backdoor.Mousey
TAILLE :
8.201 octets
DECOUVERTE :
15/08/2005
DESCRIPTION DETAILLEE :
Esbot.A est un virus qui se propage via le réseau.
Si une machine connectée à Internet n'est pas
à jour dans ses correctifs ni protégée
par un pare-feu correctement configuré, Esbot.A tente
de l'infecter via le port TCP 445 en utilisant la faille
critique MS05-039 (Plug and Play Could Allow Remote Code
Execution and Elevation of Privilege) de Windows : le virus
provoque le téléchargement d'un fichier sur
le disque via TFTP, puis son exécution à distance
sans aucune intervention de l'utilisateur. Le virus se copie
alors dans le répertoire Système sous le nom
mousebm.exe ou mousemm.exe, puis scanne le réseau à la recherche
de nouvelles machines vulnérables. Esbot.A tente également
de se connecter à un canal IRC pour attendre des ordres
via le port TCP 30722 (notamment téléchargement
et exécution de fichiers, recherche de fichiers sur
le disque dur ou lancement d'attaque DoS).
Les ordinateurs à jour dans leurs correctifs de sécurité
ne peuvent pas être infectés par le virus. Les
retardataires ou les utilisateurs dans le doute doivent mettre
à jour leur système via le service WindowsUpdate
afin de corriger la faille exploitée par le virus pour
s'exécuter automatiquement.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|