このページの本文へ移動

富士通

※今後表示しない場合は右のボタンをクリック(一部装置では再表示される場合があります)対象外、または実施済み
  1. ホーム >
  2. FMVサポート >
  3. パソコン活用情報 >
  4. ウイルス・セキュリティ情報 >
  5. 重要なお知らせ >
  6. ウイルス情報:「W32.Esbot.A」にご注意ください

FMVユーザーの方はユーザー登録をお願いします。電話やメールでのお問い合わせの際に必要です。

新規ユーザー登録


2005年 8月17日
富士通株式会社

ウイルス情報:「W32.Esbot.A」にご注意ください

W32.Esbot.Aは、Microsoft Windows プラグアンドプレイの脆弱性を悪用して拡散するワームです。詳しくはこちら

※ウイルス対策ソフトの定義ファイルの更新など、対策をお願いいたします。予防方法はこちら



■ 影響を受ける OS

このウイルスは以下のOSを使用しているPCに感染します。

  • Windows 95
  • Windows 98
  • Windows Me
  • Windows NT
  • Windows 2000
  • Windows Server 2003
  • Windows XP


■ 予防方法

このウイルスは、セキュリティホールを利用して感染活動を行います。
以下のマイクロソフト社の説明を参照し、セキュリティホールを修正してください。
Microsoft Windows プラグアンドプレイの脆弱性 (MS05-039) (マイクロソフト社)

セキュリティ対策の面から、常に最新のパッチを適用していただきますようお願いいたします。

また、最新のウイルスに対応できるように、Norton Internet Securityなどのウイルス対策ソフトを利用し、最新のウイルス定義ファイルが提供されていないか常にチェックするようにしましょう。
Norton Internet Securityの定義ファイルの更新について
Norton AntiVirusの定義ファイルの更新について
VirusScanの定義ファイル更新について



■ 特徴・動作

W32.Esbot.A に感染すると、リモートの攻撃者による侵入先のコンピュータへの不正アクセスを許可します。
Mouse Button Monitor サービスを停止または無効にしたりすることにより、システムが不安定になります。

W32.Esbot.A が実行されると、次のことを行います。

  1. 次のいずれかのミューテックスを作成することによって、侵入先のコンピュータ上でワームのコピーが 1 つのみ実行されるようにします。

    • mousebm
    • mousemm

  2. 自分自身を次のいずれかとしてコピーします。

    • %System%\mousebm.exe
    • %System%\mousemm.exe

  3. 自分自身をサービスとして実行します。


    4. サービス名: mousebm
    表示名: Mouse Button Monitor
    説明: Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability.
    実行ファイルのパス %System%\mousebm.exe

    または、

    サービス名: mousemm
    表示名: Mouse Movement Monitor
    説明: Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability.
    実行ファイルのパス %System%\mousemm.exe

    注意:
    %System% は可変でシステムフォルダを参照します。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。

  4. explorer.exe に自分自身を挿入します。


  5. 次のレジストリサブキーの

    HKEY_LOCAL_MACHINE\Software\Microsoft\Ole

    次の値を改ざんすることによって、

    "EnableDCOM" = "N"

    DCOM を無効にします。


  6. 次の値を

    "restrictanonymous" = "1"

    次のレジストリサブキーに追加することによって、

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

    ネットワーク共有への匿名のアクセスを制限します。


  7. 次の読み取り専用ファイルを作成します。

    %Windir%\debug\dcpromo.log


    8. 注意:
    %Windir% は可変で Windows のインストールフォルダを参照します。標準では、このフォルダは C:\Windows または C:\Winnt です。

  8. TCP ポート 30722 を使用して、次の IRC サーバのいずれかに接続し、IRC コマンドを受信します。

    • esxt.is-a-fag.net
    • esxt.legi0n.net


  9. IRC コマンドはリモートの攻撃者が次の操作を実行できるようにします。

    • ファイルをダウンロードして実行する
    • プロセスとスレッドを列挙、停止、開始する
    • サービス拒否 (DoS) 攻撃を実行する
    • ローカルのハードディスクでファイルを検索する
    • コンピュータをスキャンして Microsoft Windows プラグアンドプレイのバッファオーバーフローの脆弱性 (マイクロソフトセキュリティ情報 MS05-039 参照) を悪用しようとします。 悪用に成功すると、ワームはリモートマシンにシェルコードを送信します。


■ 感染時の対処方法

Norton Internet Securityなどのウイルス対策ソフトをお使いの方は、最新のウイルス定義ファイルをダウンロードし、パソコン全体に対してウイルスチェックをかけて駆除をおこなってください。

また、ウイルス対策ソフトをお持ちでない場合には、シマンテック社から専用の駆除ツールが提供されていますので、そちらをご利用ください。

「W32.Esbot.A 駆除ツール (株式会社シマンテック)」
http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.esbot.removal.tool.html

詳しくは、以下の参考情報をご覧ください。



■ 参考情報

ウイルス感染の対処・予防方法については、以下を参考にしてください。

<ウイルスの詳細>
ウイルス対策ソフトメーカーによって名称が異なります。情報をご確認の際はご注意ください。

シマンテック「W32.Esbot.A」
http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.esbot.a.html

<ウイルス対策について>

「もしウイルスに感染してしまったら…」
  → http://azby.fmworld.net/support/security/practice/practice03.html

「Norton Internet Securityでセキュリティ対策!(ウイルス編)」
  → http://azby.fmworld.net/support/security/practice/practice04.html


※ 本内容は予告なく変更することがございます。

- 以上 -

ページの先頭へ

製品情報

電子ペーパー「QUADERNO」

富士通パソコン通販 - FMV購入

FMVサポート

Chromebookサポート

My Cloud

企業情報

Copyright 2016 - 2025 Fujitsu Client Computing Limited