Select language:

Вход
securelist.com Уровень опасности: 1
Аналитика
Веблог
Энциклопедия
Описания
Глоссарий

Email-Worm.Win32.Plexus.a

Главная / Описания / Email-Worm.Win32.Plexus.a

Печать		 Bookmark and Share
Закладки
Время детектирования 14 июн 2004 00:40 MSK
Время выпуска обновления 14 июн 2004 00:40 MSK
Описание опубликовано 03 июн 2004 11:14 MSK

Технические детали

Сетевой червь, распространяющийся по локальным сетям и через интернет в виде вложений в зараженные электронные письма, файлообменные сети а также через уязвимости в службах LSASS и DCOM RPC Microsoft Windows.

Написан на языке Microsoft Visual C++. Упакован FSG. Размер в запакованном виде примерно 40800 байт, в распакованном - 88570.

Червь написан на основании исходного кода сетевого червя I-Worm.Mydoom.

Размножение

Размножение в виде вложений в зараженные электронные письма

Червь ищет на диске файлы с расширениями из списка:

htm
html
php
tbb
txt

И затем рассылает себя по всем найденным в них адресам электронной почты.

Варианты писем:

1.

Тема:

RE: order

Текст:

Hi. Here is the archive with those information, you asked me. And don't forget, it is strongly confidencial!!! Seya, man. P.S. Don't forget my fee ;)

Имя вложения:

SecUNCE.exe
2.

Тема:

For you

Текст:

Hi, my darling :) Look at my new screensaver. I hope you will enjoy... Your Liza

Имя вложения:

AtlantI.exe
3.

Тема:

Hi, Mike

Текст:

My friend gave me this account generator for http://www.pantyola.com I wanna share it with you :) And please do not distribute it. It's private.

Имя вложения:

AGen1.03.exe
4.

Тема:

Good offer.

Текст:

Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me...

Имя вложения:

demo.exe
5.

Тема:

RE:

Текст:

Hi, Nick. In this archive you can find all those things, you asked me. See you. Steve

Имя вложения:

release.exe

Размножение через уязвимости в службах LSASS и DCOM RPC Microsoft Windows

Червь использует уязвимость в службе LSASS Microsoft Windows (её же использует сетевой червь Sasser). Описание уязвимости приведено в Microsoft Security Bulletin MS04-011.

Патч, исправляющий данную уязвимость, был выпущен 13 апреля 2004 года; скачать его можно по ссылке выше.

Также червь, подобно прошлогоднему сетевому червю Lovesan, использует уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026.

Патч, исправляющий данную уязвимость, можно скачать по ссылке выше.

Размножение через локальную и файлообменные сети

Червь копирует себя в папку обмена файлов и на доступные сетевые ресурсы используя следующие имена:

AVP5.xcrack.exe
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe

Инсталляция

При запуске червь выдает на экран сообщение об ошибке.

Сообщения выбираются случайным образом из следующего списка:

Could not initialize installation. File size expected=26523, size returned=26344.
CRC checksum failed.
File is corrupted.
Pack method not implemented.

После этого червь копирует себя в каталог "Windows\System32" с именем "upu.exe".

Также червь устанавливает файлы:

  • в каталог "Windows\System32" файл с именем "setupex.exe";
  • в корневой каталог "Windows" файл с именем "svchost.exe".

Файл "setupex.exe" является backdoor-программой Backdoor.Dumador.ai, написанной на языке Microsoft Visual C++, упакованной FSG. Размер в запакованном виде - 21088 байт, в распакованном - 53772.

Файл "svchost.exe" является основным модулем червя, написанным на языке Microsoft Visual C++, упакованным FSG. Размер в запакованном виде - 16208 байт, в распакованном - 57856.

Основная текстовая информация внутри файла зашифрована.

Содержит текстовую строку следующего содержания:

-== I'm Expletus. Made in China. ==-

Червь регистрирует себя в ключе автозагрузки системного реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "NvClipRsv"=[путь к исполняемому файлу]

Также червь создает уникальный идентификатор "Expletus" для определения своего присутствия в системе.

Действие

Червь противодействует обновлению антивирусных баз Антивируса Касперского. Для этого он заменяет содержимое файла "hosts" в каталоге Windows "Windows\System32\drivers\etc\hosts" следующими данными:

127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com

Загрузка и запуск файлов

Червь открывает на прослушивание порт 1250, предоставляя возможность проводить загрузку файлов на машину-жертву с их последующим запуском.
Вредоносные программы
Вирусы и черви
Email-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

  • прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
  • использование сервисов MS Outlook;
  • использование функций Windows MAPI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

  • рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
  • считывает адреса из адресной базы WAB;
  • сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
  • отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.

Другие модификации

Email-Worm.Win32.Plexus.b

Другие названия

Email-Worm.Win32.Plexus.a («Лаборатория Касперского») также известен как:

  • Email-Worm.Plexus.a («Лаборатория Касперского»)
  • I-Worm.Plexus.a («Лаборатория Касперского»),
  • Virus: W32/Plexus.gen@MM (McAfee)
  • W32/Dumaru-AK (Sophos)
  • Exploit.DCOM.Gen (ClamAV)
  • W32/Plexus.G.worm (Panda)
  • W32/Mydoom.A.gen!Eldorado (FPROT)
  • Backdoor:Win32/Mydoom.gen (MS(OneCare))
  • Win32.HLLM.Expletus.45056 (DrWeb)
  • Win32/Plexus.B worm (Nod32)
  • Win32.Worm.Plexus.C (BitDef7)
  • Worm.RBot.Gen.14 (VirusBuster)
  • Win32:RPCexploit [Trj] (AVAST)
  • Email-Worm.Win32.Plexus.A (Ikarus)
  • I-Worm/Plexus.B (AVG)
  • WORM/RBot.328262 (AVIRA)
  • W32.Explet.A@mm (NAV)
  • W32/Malware.ENUX (Norman)
  • W32/Plexus.gen@MM (NAI)
  • WORM_PLEXUS.B (PCCIL)
  • Worm.Plexus.B (Rising)
  • WORM_PLEXUS.B (TrendMicro)
 

securelist.com : аналитика, веблог, энциклопедия, описания, глоссарий, RSS, рассылки, контакты
kaspersky.ru : продукты, магазин, угрозы, сервис, загрузить, партнёры, о компании

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей