Plexus.a: отголоски эпидемии Mydoom | Компьютерный мир

Лаборатория Касперского, российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении нового опасного интернет-червя Plexus.a. Вредоносная программа распространяется по локальным сетям и через интернет в виде вложений в зараженные электронные письма, файлообменные сети, а также через уязвимости в службах LSASS и RPC DCOM Microsoft Windows. Анализ вируса однозначно показывает, что при его создании использовались исходные коды печально известного червя Mydoom. Помимо стандартных для данного типа вредоносных программ функций, деструктивный эффект воздействия Plexus заключается в нарушении механизма загрузки обновлений Антивируса Касперского. На настоящий момент получено большое число сообщений о случаях заражения Plexus.a.
Червь использует множество известных принципов размножения. Маскируясь под дистрибутивы популярных пользовательских приложений, Plexus.a попадает на компьютеры через локальные и файлообменные сети. Значительное число заражений происходит из-за печально известных уязвимостей в службах Microsoft Windows: LSASS, которой пользовался сетевой червь Sasser; и DCOM RPC - её использовал один из лидеров прошлогоднего вирусного рейтинга Lovesan. Таким образом, Plexus.a поражает компьютеры, на которых не установлены патчи, устраняющие данные уязвимости.
Характерной особенностью механизма самораспространения нового вируса является разнообразие вариантов рассылаемых зараженных электронных писем. Для дезориентации пользователей Plexus.a применяет пять различных вариантов писем. Они отличаются по формальным признакам: заголовку, текстовому содержанию и названию приложенного к сообщению файла. Неизменным остается его размер: упакованный в формате FSG файл занимает 16208 байт, распакованный - 57856.
После запуска червь копирует себя в системный каталог Windows под именем "upu.exe", и регистрирует данный файл в ключе автозапуска системного реестра для самоактивации при каждой перезагрузке компьютера. Для определения своего присутствия в системе червь также создает в памяти уникальный идентификатор "Expletus". Затем он сканирует файлы на дисках пораженного компьютера и рассылает себя по всем найденным в них адресам электронной почты.
Помимо сложной процедуры самораспространения, Plexus.a располагает двумя деструктивными функциями, представляющими значительную угрозу инфицированному компьютеру. Прежде всего, червь пытается нарушить работу автоматического обновления антивирусных баз Антивируса Касперского. Это производится путем подмены содержимого файла "hosts" в системной директории Windows.
Не меньшую опасность для зараженного компьютера представляет троянская составляющая Plexus.a. C ее помощью вирус открывает на прослушивание TCP порт 1250, предоставляя возможность проводить загрузку файлов на машину-жертву с их последующим запуском. Это дает злоумышленникам доступ к удаленному управлению компьютером, в частности, позволяет запускать на выполнение различные команды и загружать файлы по усмотрению автора червя.
Процедуры защиты от I-Worm.Plexus.a уже добавлены в базу данных Антивируса Касперского.

Источник: Tom's Hardware

Рейтинг

Текущий рейтинг - 10, просмотров - 5238

Комментарии пользователей

Это рекламное место сдается

Ведущий раздела: Admin

Хотите участвовать в обновлении этого раздела или завести свой раздел? Пишите!

Генерация страницы: 0,394478 сек.

Информация, расположенная на данном сервере, предназначена исключительно для частного использования и не может быть загружена/перенесена на другой компьютер. Ни владелец сайта, ни хостинг-провайдер, ни любые другие физические или юридические лица не несут никакой отвественности за любое использование материалов данного сайта. Входя на сайт Вы как пользователь, тем самым подтверждаете полное и безоговорочное согласие со всеми условиями использования. Авторы проекта относятся особо негативно к возможности использования информации, полученной на сайте в целях нелегального использования.