Email-Worm.Win32.Plexus.a
Po uruchomieniu robak kopiuje si臋 do folderu systemowego Windows z nazw膮 upu.exe i tworzy w rejestrze systemowym klucz auto-run:
"NvClipRsv"=[艣cie偶ka dost臋pu do pliku wykonywalnego]
W celu oznaczenia zainfekowanego komputera szkodnik tworzy unikatowy identyfikator expletus.
Robak kopiuje si臋 z nast臋puj膮cymi nazwami do folder贸w wsp贸艂dzielonych przez aplikacje s艂u偶膮ce do wymiany plik贸w:
AVP5.xcrack.exe
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe
Dodatkowo robak atakuje komputery za po艣rednictwem luki RPC DCOM opisanej w biuletynie MS03-026 firmy Microsoft.
Adresy potencjalnych ofiar pobierane s膮 z plik贸w posiadaj膮cych nast臋puj膮ce rozszerzenia:
HTM HTML PHP TBB TXT
Zainfekowane wiadomo艣ci e-mail mog膮 wygl膮da膰 nast臋puj膮co:
Wariant 1
- Temat:
RE: order
- Tre艣膰:
Hi. Here is the archive with those information, you asked me. And don't forget, it is strongly confidencial!!! Seya, man. P.S. Don't forget my fee ;)
- Nazwa za艂膮cznika: SecUNCE.exe
Wariant 2
- Temat:
For you
- Tre艣膰:
Hi, my darling :) Look at my new screensaver. I hope you will enjoy... Your Liza
- Nazwa za艂膮cznika: AtlantI.exe
Wariant 3
- Temat:
Hi, Mike
- Tre艣膰:
My friend gave me this account generator for http://www.pantyola.com I wanna share it with you :) And please do not distribute it. It's private.
- Nazwa za艂膮cznika: Agen1.03.exe
Wariant 4
- Temat:
Good offer
- Tre艣膰:
Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me...
- Nazwa za艂膮cznika: demo.exe
Wariant 5
- Temat:
RE:
- Tre艣膰:
Hi, Nick. In this archive you can find all those things, you asked me. See you. Steve
- Nazwa za艂膮cznika: release.exe
We recommend that users delete this file in cases of infection
Robak otwiera port 1250, co pozwala hakerowi na zapisywanie oraz uruchamianie dowolnych plik贸w w zainfekowanym komputerze.