Как сообщила сегодня "Лаборатория Касперского", обнаружен новый сетевой червь I-Worm.Plexus.a, распространяющийся по локальным сетям и через интернет в виде вложений в зараженные электронные письма, файлообменные сети, а также используя уязвимость служб LSASS и RPC DCOM Microsoft Windows. «Лабораторией Касперского» червю присвоен средний уровень опасности.
I-Worm.Plexus.a создан на основании исходного кода сетевого червя I-Worm.Mydoom. Написан на языке Microsoft Visual C++. Упакован FSG. Размер в запакованном виде — 16208 байт, в распакованном — 57856. Основная текстовая информация внутри файла зашифрована.
При запуске вложения червь копирует себя в каталог "WindowsSystem32" с именем "upu.exe", затем регистрирует себя в ключе автозагрузки системного реестра ([HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] и "NvClipRsv"=[путь к исполняемому файлу]), создает уникальный идентификатор "Expletus" для определения своего присутствия в системе.
Размножается I-Worm.Plexus.a через локальную и файлообменную сети. Червь копирует себя в папку обмена файлов и на доступные сетевые ресурсы используя следующие имена:
- AVP5.xcrack.exe
- hx00def.exe
- ICQBomber.exe
- InternetOptimizer1.05b.exe
- Shrek_2.exe
- UnNukeit9xNTICQ04noimageCrk.exe
- YahooDBMails.exe
I-Worm.Plexus.a также использует уязвимость в службе LSASS Microsoft Windows (ею же пользовался сетевой червь Sasser). Ее описание приведено в Microsoft Security Bulletin MS04-011. Патч, исправляющий данную уязвимость, был выпущен 13 апреля 2004 года; скачать его можно по ссылке выше. Также червь, подобно прошлогоднему сетевому червю Lovesan, использует уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026. Патч, исправляющий данную уязвимость, можно скачать там же.
Поселившись в системе, червь открывает на прослушивание порт 1250, предоставляя возможность проводить загрузку файлов на машину-жертву с их последующим запуском. Выпущено срочное обновление баз Антивируса Касперского, содержащее процедуры защиты от I-Worm.Plexus.a. Чтобы скачать обновление баз с зараженного червем компьютера, пользователю необходимо удалить файл "hosts" из папки "WindowsSystem32driversetchosts", в противном случае I-Worm.Plexus.a заблокирует обновление вирусной базы.