Plexus.a: новый клон Mydoom

Обнаружен новый опасный интернет-червь "Plexus.a". Вредоносная программа распространяется по локальным сетям и через интернет в виде вложений в зараженные электронные письма, файлообменные сети, а также через уязвимости в службах LSASS и RPC DCOM Microsoft Windows. Анализ текста вируса однозначно показывает, что источником его создания стали исходные коды печально известного червя Mydoom. Помимо стандартных для данного типа вредоносных программ функций, деструктивный эффект воздействия Plexus заключается в нарушении механизма загрузки обновлений Антивируса Касперского. На настоящий момент получено большое число сообщений о случаях заражения Plexus.a.

Для своего размножения сетевой червь использует большинство известных принципов. Маскируясь под дистрибутивы популярных пользовательских приложений, Plexus.a внедряется на компьютеры через локальные и файлообменные сети. Значительное число заражений происходит за счет использования уже известных уязвимостей в службах Microsoft Windows: LSASS Microsoft Windows, которой воспользовался сетевой червь Sasser, и DCOM RPC - этот метод проникновения на компьютер был реализован одним из лидеров прошлогоднего вирусного рейтинга Lovesan. Таким образом, Plexus.a поражает компьютеры, на которых не установлены специальные патчи, устраняющие данные уязвимости.

Отличительной характеристикой механизма самораспространения нового вируса является разнообразие вариантов исполнения зараженных электронных писем. Для дезориентации пользователей Plexer.a применяет пять различных вариантов писем. Они отличаются по формальным признакам: заголовку, текстовому содержанию и названию приложенного к сообщению файла. Неизменным остается его размер: упакованный в формате FSG файл занимает 16208 байт, распакованный - 57856.

После запуска червь копирует себя в системный каталог Windows с именем "upu.exe", и регистрирует данный файл в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера. Для определения своего присутствия в системе червь также создает уникальный идентификатор "Expletus". Затем он сканирует файловую систему пораженного компьютера и рассылает себя по всем найденных в них адресам электронной почты.

Помимо процедуры самораспространения, Plexer.a располагает еще двумя деструктивными функциями, представляющими значительную угрозу для инфицированного компьютера. Прежде всего, червь пытается разрушить антивирусную защиту машин, защищенных Антивирусом Касперского. Для этого он нарушает работу механизма автоматической загрузки обновлений антивирусных баз. Это производится путем подмены содержимого соответствующего файла в системной директории Windows.

Не меньшую опасность для зараженного компьютера представляет троянская составляющая Plexer.a. C ее помощью вирус открывает на прослушивание порт 1250, предоставляя возможность проводить загрузку файлов на машину-жертву с их последующим запуском. Это дает злоумышленникам доступ к удаленному управлению компьютером, в частности, позволяет запускать на выполнение различные команды и загружать файлы по усмотрению автора червя.

©1997-2024 Компьютерная газета