Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

UWAGA! I-Worm.Plexus.a

I-Worm.Plexus.a Jest to robak internetowy rozprzestrzeniający się na trzy sposoby: jako załącznik zainfekowanych wiadomości e-mail, poprzez sieci P2P, a także za pośrednictwem luk w zabezpieczeniach systemów Windows - LSASS oraz RPC DCOM (podobnie jak Sasser oraz Lovesan).Szkodnik wyposażony jest w potencjalnie niebezpieczną funkcję dodatkową. Plexus zawiera zmodyfikowany kod robaka Mydoom. Powstał przy użyciu środowiska programistycznego MS Visual C++, a jego rozmiar to 16 208 bajtów (kompresja FSG, rozmiar po rozpakowaniu - około 57 856 bajtów).

Instalacja

Po uruchomieniu robak kopiuje się do folderu systemowego Windows z nazwą upu.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvClipRsv"=[ścieżka dostępu do pliku wykonywalnego]

W celu oznaczenia zainfekowanego komputera szkodnik tworzy unikatowy identyfikator expletus.

Rozprzestrzenianie - sieci P2P

Robak kopiuje się z następującymi nazwami do folderów współdzielonych przez aplikacje służące do wymiany plików:

AVP5.xcrack.exe
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe

Rozprzestrzenianie - luki w zabezpieczeniach systemów Windows

Plexus wykorzystuje lukę w usłudze LSASS (opisaną w biuletynie MS04-011 firmy Microsoft). Firma Microsoft opublikowała łatę usuwającą tę lukę 13 kwietnia 2004.

Dodatkowo robak atakuje komputery za pośrednictwem luki RPC DCOM opisanej w biuletynie MS03-026 firmy Microsoft.

Rozprzestrzenianie - zainfekowane wiadomości e-mail

Adresy potencjalnych ofiar pobierane są z plików posiadających następujące rozszerzenia:

HTM
HTML
PHP
TBB
TXT

Zainfekowane wiadomości e-mail mogą wyglądać następująco:

Wariant 1

  • Temat:
    RE: order
  • Treść:
    Hi. Here is the archive with those information, you asked me. 
    And don't forget, it is strongly confidencial!!! 
    Seya, man. P.S. Don't forget my fee ;)
  • Nazwa załącznika: SecUNCE.exe

Wariant 2

  • Temat:
    For you
  • Treść:
    Hi, my darling :) Look at my new screensaver. 
    I hope you will enjoy... Your Liza
  • Nazwa załącznika: AtlantI.exe

Wariant 3

  • Temat:
    Hi, Mike
  • Treść:
    My friend gave me this account generator 
    for http://www.pantyola.com I wanna share it 
    with you :) And please do not distribute it. 
    It's private.
  • Nazwa załącznika: Agen1.03.exe

Wariant 4

  • Temat:
    Good offer
  • Treść:
    Greets! I offer you full base of accounts 
    with passwords of mail server yahoo.com. 
    Here is archive with small part of it. 
    You can see that all information is real. 
    If you want to buy full base, please reply me...
    
  • Nazwa załącznika: demo.exe

Wariant 5

  • Temat:
    RE:
  • Treść:
    Hi, Nick. In this archive you can find 
    all those things, you asked me. See you. 
    Steve
    
  • Nazwa załącznika: release.exe

Funkcja dodatkowa

Plexus usiłuje zapobiec pobraniu antywirusowych baz danych programu Kaspersky Anti-Virus nadpisując poniższym tekstem zawartość jego plików zapisanych w folderze systemowym Windows:

We recommend that users delete this file in cases of infection

Backdoor

Robak otwiera port 1250, co pozwala hakerowi na zapisywanie oraz uruchamianie dowolnych plików w zainfekowanym komputerze.



 2004-06-03  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych