Email-Worm.Win32.Plexus.b

Технические детали

Сетевой червь. Распространяется по локальным сетям и через интернет в виде вложений в зараженные электронные письма, файлообменные сети, а также через уязвимости в службах LSASS и DCOM RPC Microsoft Windows.

Практически аналогичен первой версии, I-Worm.Plexus.a, за исключением некоторых изменений.

Написан на языке Microsoft Visual C++. Размер файла - 69632 байта.

Размножение

Размножение через локальную и файлообменные сети

Червь копирует себя в папку обмена файлов и на доступные сетевые ресурсы используя следующие имена:

AVP5.xcrack.exe
hx00def.exe
ICQ04noimageCrk.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNT.exe
YahooDBMails.exe

Остальные механизмы размножения аналогичны использующимся в I-Worm.Plexus.a.

Инсталляция

При запуске копирует себя в каталог "Windows\System32" с именем "upu.exe".

Устанавливает:

• в каталог "Windows\System32" файл с именем "setupex.exe";
• в корневой каталог Windows файл с именем svchost.exe.

Файл "setupex.exe" является троянской proxy-программой TrojanProxy.Win32.Webber.h, написанной на языке Microsoft Visual C++. Имеет размер 47779 байт.

Файл "svchost.exe" является основным модулем червя, написанном на языке Microsoft Visual C++. Упакован FSG. Размер в запакованном виде - 16224 байт, в распакованном - 57857 байт.

Основная текстовая информация внутри файла зашифрована.

Содержит текстовую строку следующего содержания:

-== KAV I'm Expletus !!!. Made in China. ==-

Червь регистрирует себя в ключе автозагрузки системного реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "InternetServ"=[путь к исполняемому файлу]

Также червь создает уникальный идентификатор "Expletus.b" для определения своего присутствия в системе.

Прочее

Весь остальной функционал аналогичен предыдущей версии червя.