Connect with us

technokrata

Mydoomra alapuló féreg: Plexus.A

Dotkom

Mydoomra alapuló féreg: Plexus.A

A Kaspersky Labs egy új, lehetséges veszélyeket rejtő internetes férget észlelt; a kód részletes elemzése megerősítette, hogy a vírus szerzője a Mydoom forráskódját használta kiindulási alapként.

A Plexus.A a szokványos fertőzési módszereket használja. A féreg népszerű alkalmazások részeinek álcázza magát, és a LAN, illetve file-megosztó hálózatokon keresztül hatol be a rendszerekbe. Jelentős számú fertőzés történt a jól ismert MS Windows sebezhetőségeken keresztül: a Sasser által használt LSASS, valamint a Lovesan terjedését biztosító RPC DCOM rések kihasználásával. A Lovesan még 2003. augusztusában támadt először, a Plexus.A mégis rengeteg olyan számítógépet talált és fertőzött meg, melyeken ez a sebezhetőség nem volt kijavítva.

A Plexus ötféle e-mail üzenetből választ a felhasználók megtévesztése céljából. Minden egyes üzenet más-más fejléccel, szöveggel és más file-nevű csatolt állománnyal rendelkezik. Az egyetlen állandó jellemző a file-méret, amely 16.208 byte illetve 57.856 byte FSG tömörítés nélkül.

Futásakor a Plexus.A „upu.exe” néven bemásolja magát a Windows rendszermappába. Ahhoz, hogy a féreg a gép minden egyes újraindításakor elinduljon, a Plexus.A ezt a file-t automatikusan futtatandó kulcsként veszi fel a rendszerleíró adatbázisba. A féreg létrehozza az ´Expletus´ azonosítót a rendszerben, így mindössze egyetlen másolat futhat a féregből a fertőzött gépen. Ezt követően a Plexus másolatokat küld önmagából az összes e-mailcímre, melyet a helyi meghajtók vizsgálatával megszerzett.

A Plexus hatása kettős. A féreg először is az összes Kaspersky Anti-Virus szoftvert futtató számítógépet fenyegeti, mivel megpróbálja megakadályozni a vírusvédelmi adatbázisok automatikus frissítését. A Plexus lecseréli a rendszerleíró adatbázis egyik mappájának tartalmát: e mappa törléséig a felhasználóknak kézi módszerrel kell letölteni a frissítéseket. A féreg másik hatása viszont az összes rendszert fenyegeti világszerte: a féreg megnyitja és figyeli az 1250-es portot, így lehetővé teszi file-ok távoli feltöltését és letöltését a fertőzött számítógépről. A nyitott port a fertőzés áldozatát további támadásoknak teszi ki.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek