Авторы
«Лаборатория Касперского» сообщает об обнаружении нового сетевого червя I-Worm.Plexus.a, распространяющегося по локальным сетям и через интернет в виде вложений в зараженные электронные письма, файлообменные сети, а также через уязвимости в службах LSASS и RPC DCOM Microsoft Windows.
Создан на основании исходного кода сетевого червя I-Worm.Mydoom.
Написан на языке Microsoft Visual C++. Упакован FSG. Размер в запакованном виде — 16208 байт, в распакованном — 57856. Основная текстовая информация внутри файла зашифрована.
Инсталляция
При запуске копирует себя в каталог «WindowsSystem32» с именем «upu.exe».
Регистрирует себя в ключе автозагрузки системного реестра:
|
1 2 |
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "NvClipRsv"=[путь к исполняемому файлу] |
Также червь создает уникальный идентификатор «Expletus» для определения своего присутствия в системе.
Размножение
Через локальную и файлообменные сети
Червь копирует себя в папку обмена файлов и на доступные сетевые ресурсы используя следующие имена:
|
1 2 3 4 5 6 7 |
AVP5.xcrack.exe hx00def.exe ICQBomber.exe InternetOptimizer1.05b.exe Shrek_2.exe UnNukeit9xNTICQ04noimageCrk.exe YahooDBMails.exe |
Через уязвимости в службах LSASS и DCOM RPC Microsoft Windows
Червь использует уязвимость в службе LSASS Microsoft Windows (ею же пользовался сетевой червь Sasser). Ее описание приведено в Microsoft Security Bulletin MS04-011.
Патч, исправляющий данную уязвимость, был выпущен 13 апреля 2004 года; скачать его можно по ссылке выше.
Также червь, подобно прошлогоднему сетевому червю Lovesan, использует уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026.
Патч, исправляющий данную уязвимость, можно скачать по ссылке выше.
Размножение в виде вложений в зараженные электронные письма
Червь ищет на диске файлы с расширениями из списка:
|
1 2 3 4 5 |
htm html php tbb txt |
И рассылает себя по всем найденным в них адресам электронной почты.
Варианты писем:
—
Заголовок:
|
1 |
RE: order |
Текст:
Hi. Here is the archive with those information, you asked me. And don’t forget, it is strongly confidencial!!! Seya, man. P.S. Don’t forget my fee 😉
Имя вложения:
|
1 |
SecUNCE.exe |
Заголовок:
|
1 |
For you |
Текст:
Hi, my darling 🙂 Look at my new screensaver. I hope you will enjoy… Your Liza
Имя вложения:
|
1 |
AtlantI.exe |
Заголовок:
|
1 |
Hi, Mike |
Текст:
My friend gave me this account generator for http://www.pantyola.com I wanna share it with you 🙂 And please do not distribute it. It’s private.
Имя вложения:
|
1 |
AGen1.03.exe |
Заголовок:
|
1 |
Good offer. |
Текст:
Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me…
Имя вложения:
|
1 |
demo.exe |
Заголовок:
|
1 |
RE: |
Текст:
Hi, Nick. In this archive you can find all those things, you asked me. See you. Steve
Имя вложения:
|
1 |
release.exe |
Действие
Червь противодействует обновлению антивирусных баз Антивируса Касперского. Для этого он заменяет содержимое файла «hosts» в каталоге Windows «WindowsSystem32driversetchosts» следующими данными:
|
1 2 3 4 5 |
127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 downloads-eu1.kaspersky-labs.com 127.0.0.1 downloads-us1.kaspersky-labs.com |
Загрузка и запуск файлов
Червь открывает на прослушивание порт 1250, предоставляя возможность проводить загрузку файлов на машину-жертву с их последующим запуском.
Выпущено срочное обновление баз Антивируса Касперского, содержащее процедуры защиты от I-Worm.Plexus.a. Чтобы скачать обновление баз с зараженного червем компьютера, пользователю необходимо удалить файл «hosts» из папки «WindowsSystem32driversetchosts».
Более детальное описание червя будет опубликовано в «Вирусной энциклопедии» в течение сегодняшнего дня.
Авторы
От тех же авторов
В той же категории
I-Worm.Plexus.a