Email-Worm.Win32.Plexus.a

Jest to robak internetowy rozprzestrzeniaj膮cy si臋 na trzy sposoby: jako za艂膮cznik zainfekowanych wiadomo艣ci e-mail, poprzez sieci P2P, a tak偶e za po艣rednictwem luk w zabezpieczeniach system贸w Windows - LSASS oraz RPC DCOM (podobnie jak Sasser oraz Lovesan).Szkodnik wyposa偶ony jest w potencjalnie niebezpieczn膮 funkcj臋 dodatkow膮. Plexus zawiera zmodyfikowany kod robaka Mydoom. Powsta艂 przy u偶yciu 艣rodowiska programistycznego MS Visual C++, a jego rozmiar to 16 208 bajt贸w (kompresja FSG, rozmiar po rozpakowaniu - oko艂o 57 856 bajt贸w).

Instalacja

Po uruchomieniu robak kopiuje si臋 do folderu systemowego Windows z nazw膮 upu.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"NvClipRsv"=[艣cie偶ka dost臋pu do pliku wykonywalnego]

W celu oznaczenia zainfekowanego komputera szkodnik tworzy unikatowy identyfikator expletus.

Rozprzestrzenianie - sieci P2P

Robak kopiuje si臋 z nast臋puj膮cymi nazwami do folder贸w wsp贸艂dzielonych przez aplikacje s艂u偶膮ce do wymiany plik贸w:

AVP5.xcrack.exe
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe

Rozprzestrzenianie - luki w zabezpieczeniach system贸w Windows

Plexus wykorzystuje luk臋 w us艂udze LSASS (opisan膮 w biuletynie MS04-011 firmy Microsoft). Firma Microsoft opublikowa艂a 艂at臋 usuwaj膮c膮 t臋 luk臋 13 kwietnia 2004.

Dodatkowo robak atakuje komputery za po艣rednictwem luki RPC DCOM opisanej w biuletynie MS03-026 firmy Microsoft.

Rozprzestrzenianie - zainfekowane wiadomo艣ci e-mail

Adresy potencjalnych ofiar pobierane s膮 z plik贸w posiadaj膮cych nast臋puj膮ce rozszerzenia:

HTM
HTML
PHP
TBB
TXT

Zainfekowane wiadomo艣ci e-mail mog膮 wygl膮da膰 nast臋puj膮co:

Wariant 1

  • Temat:
    RE: order
  • Tre艣膰:
    Hi. Here is the archive with those information, you asked me. 
    And don't forget, it is strongly confidencial!!! 
    Seya, man. P.S. Don't forget my fee ;)
  • Nazwa za艂膮cznika: SecUNCE.exe

Wariant 2

  • Temat:
    For you
  • Tre艣膰:
    Hi, my darling :) Look at my new screensaver. 
    I hope you will enjoy... Your Liza
  • Nazwa za艂膮cznika: AtlantI.exe

Wariant 3

  • Temat:
    Hi, Mike
  • Tre艣膰:
    My friend gave me this account generator 
    for http://www.pantyola.com I wanna share it 
    with you :) And please do not distribute it. 
    It's private.
  • Nazwa za艂膮cznika: Agen1.03.exe

Wariant 4

  • Temat:
    Good offer
  • Tre艣膰:
    Greets! I offer you full base of accounts 
    with passwords of mail server yahoo.com. 
    Here is archive with small part of it. 
    You can see that all information is real. 
    If you want to buy full base, please reply me...
    
  • Nazwa za艂膮cznika: demo.exe

Wariant 5

  • Temat:
    RE:
  • Tre艣膰:
    Hi, Nick. In this archive you can find 
    all those things, you asked me. See you. 
    Steve
    
  • Nazwa za艂膮cznika: release.exe

Funkcja dodatkowa

Plexus usi艂uje zapobiec pobraniu antywirusowych baz danych programu Kaspersky Anti-Virus nadpisuj膮c poni偶szym tekstem zawarto艣膰 jego plik贸w zapisanych w folderze systemowym Windows:

We recommend that users delete this file in cases of infection

Backdoor

Robak otwiera port 1250, co pozwala hakerowi na zapisywanie oraz uruchamianie dowolnych plik贸w w zainfekowanym komputerze.