Главная » Новости » 2004 » 06 » 03 3 июня 2004

Обнаружен новый вирус: MyDoom+Sasser+Lovesan в одном флаконе

Как сообщила сегодня "Лаборатория Касперского", обнаружен новый сетевой червь I-Worm.Plexus.a, распространяющийся по локальным сетям и через интернет в виде вложений в зараженные электронные письма, файлообменные сети, а также используя уязвимость служб LSASS и RPC DCOM Microsoft Windows. «Лабораторией Касперского» червю присвоен средний уровень опасности.

I-Worm.Plexus.a создан на основании исходного кода сетевого червя I-Worm.Mydoom. Написан на языке Microsoft Visual C++. Упакован FSG. Размер в запакованном виде — 16208 байт, в распакованном — 57856. Основная текстовая информация внутри файла зашифрована.

При запуске вложения червь копирует себя в каталог "WindowsSystem32" с именем "upu.exe", затем регистрирует себя в ключе автозагрузки системного реестра ([HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] и "NvClipRsv"=[путь к исполняемому файлу]), создает уникальный идентификатор "Expletus" для определения своего присутствия в системе.

Размножается I-Worm.Plexus.a через локальную и файлообменную сети. Червь копирует себя в папку обмена файлов и на доступные сетевые ресурсы используя следующие имена:

  • AVP5.xcrack.exe
  • hx00def.exe
  • ICQBomber.exe
  • InternetOptimizer1.05b.exe
  • Shrek_2.exe
  • UnNukeit9xNTICQ04noimageCrk.exe
  • YahooDBMails.exe

I-Worm.Plexus.a также использует уязвимость в службе LSASS Microsoft Windows (ею же пользовался сетевой червь Sasser). Ее описание приведено в Microsoft Security Bulletin MS04-011. Патч, исправляющий данную уязвимость, был выпущен 13 апреля 2004 года; скачать его можно по ссылке выше. Также червь, подобно прошлогоднему сетевому червю Lovesan, использует уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026. Патч, исправляющий данную уязвимость, можно скачать там же.

Поселившись в системе, червь открывает на прослушивание порт 1250, предоставляя возможность проводить загрузку файлов на машину-жертву с их последующим запуском. Выпущено срочное обновление баз Антивируса Касперского, содержащее процедуры защиты от I-Worm.Plexus.a. Чтобы скачать обновление баз с зараженного червем компьютера, пользователю необходимо удалить файл "hosts" из папки "WindowsSystem32driversetchosts", в противном случае I-Worm.Plexus.a заблокирует обновление вирусной базы.

12:40 03.06.2004
Оценить новость

Не работают комментарии или голосования? Читайте как почистить куки



ОПРОС Micromax

С какой периодичностью вы меняете смартфоны?
июнь
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
2004

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.