Plexus.a: отголоски эпидемии Mydoom

3/06/2004 14:56

"Лаборатория Касперского" сообщает об обнаружении нового опасного интернет-червя Plexus.a. Вредоносная программа распространяется по локальным сетям и через интернет в виде вложений в зараженные электронные письма, файлообменные сети, а также через уязвимости в службах LSASS и RPC DCOM Microsoft Windows. Анализ вируса однозначно показывает, что при его создании использовались исходные коды печально известного червя Mydoom. Помимо стандартных для данного типа вредоносных программ функций, деструктивный эффект воздействия Plexus заключается в нарушении механизма загрузки обновлений Антивируса Касперского. На настоящий момент получено большое число сообщений о случаях заражения Plexus.a. Червь использует множество известных принципов размножения. Маскируясь под дистрибутивы популярных пользовательских приложений, Plexus.a попадает на компьютеры через локальные и файлообменные сети. Значительное число заражений происходит из-за печально известных уязвимостей в службах Microsoft Windows: LSASS, которой пользовался сетевой червь Sasser; и DCOM RPC - её использовал один из лидеров прошлогоднего вирусного рейтинга Lovesan. Таким образом, Plexus.a поражает компьютеры, на которых не установлены патчи, устраняющие данные уязвимости. Характерной особенностью механизма самораспространения нового вируса является разнообразие вариантов рассылаемых зараженных электронных писем. Для дезориентации пользователей Plexus.a применяет пять различных вариантов писем. Они отличаются по формальным признакам: заголовку, текстовому содержанию и названию приложенного к сообщению файла. Неизменным остается его размер: упакованный в формате FSG файл занимает 16208 байт, распакованный - 57856. После запуска червь копирует себя в системный каталог Windows под именем "upu.exe", и регистрирует данный файл в ключе автозапуска системного реестра для самоактивации при каждой перезагрузке компьютера. Для определения своего присутствия в системе червь также создает в памяти уникальный идентификатор "Expletus". Затем он сканирует файлы на дисках пораженного компьютера и рассылает себя по всем найденным в них адресам электронной почты. Помимо сложной процедуры самораспространения, Plexus.a располагает двумя деструктивными функциями, представляющими значительную угрозу инфицированному компьютеру. Прежде всего, червь пытается нарушить работу автоматического обновления антивирусных баз Антивируса Касперского. Это производится путем подмены содержимого файла "hosts" в системной директории Windows. Не меньшую опасность для зараженного компьютера представляет троянская составляющая Plexus.a. C ее помощью вирус открывает на прослушивание TCP порт 1250, предоставляя возможность проводить загрузку файлов на машину-жертву с их последующим запуском. Это дает злоумышленникам доступ к удаленному управлению компьютером, в частности, позволяет запускать на выполнение различные команды и загружать файлы по усмотрению автора червя.
Подробное описание