|
|
|
|
| |
| 2004-06-03 |
|
"Plexus.a" eine Verfeinerung von "Mydoom"
"Plexus.a" eine Verfeinerung von "Mydoom"
Kaspersky Labs, ein international führender Experte im Bereich IT-Sicherheit berichtet über den neuen gefährlichen Internet-Wurm 'Plexus.a', der sich auch über lokale Netzwerke als Anhang zu eMail-Nachrichten, Tauschbörsen und durch Sicherheitslücken im LSASS (Local Security Authority Subsystem Service) und RPC/DCOM (Remote Procedure Call/Distributed Component Object Model) von Microsoft Windows ausbreitet. Die Textanalyse des Wurms zeigt, dass der Quellquode von 'Mydoom' Basis für diesen neuen Wurm ist. Der destruktive Effekt von 'Plexus.a' ist insbesondere für die Anwender von Kaspersky Anti-Virus von Bedeutung, da der Wurm das Herunterladen der Updates der Anti-Viren Dateien verhindert.
Zu seiner Verbreitung maskiert sich der Wurm als Distributiv bekannter Anwenderprogramme und penetriert auf PCs über lokale Netzwerke und Dateitauschbörsen. Die meisten Infektionen erfolgen über die Sicherheitslücken der Microsoft Windows Dienste LSASS (wie auch im Fall von Sasser) und RPC/DCOM (wie im Fall von Lovesan).
'Plexus.a' erscheint in 5 unterschiedlichen Varianten infizierter eMail-Nachrichten, wobei sich jeweils Betreffzeile, Briefkorpus und Dateinamen unterscheiden können. Unverändert ist jedoch die jeweillige Größe: Als FSG Datei komprimiert 16208 Byte - ausgepackt 57856.
Nach Ausführung kopiert sich der Wurm in den Systemordner von Windows unter dem Namen 'upu.exe' und registriert die Datei als 'automatisch ausführen' im Systemregister zur Aktivierung des böswilligen Programms beim Hochfahren des PCs. Zur Lokalisierung im Systemspeicher erstellt der Wurm den Identifikator 'Expletus', was Doppelinfektionen verhindert. Danach scannt er das gesamte Datei-System des infizierten PCs und versendet sich an alle gefundenen eMail-Adressen.
Darüberhinaus versucht der Wurm den Anti-Viren Schutz des PCs zu zerstören, indem er das automatische Herunterladen der Updates der Anti-Viren Dateien von Kaspersky Anti-Virus verhindert. Dies geschieht durch Datentausch der entsprechenden Datei im Systemordner von Windows. Eine weitere Gefahr stellt der 'trojanische Teil' von 'Plexus.a' dar. Der Virus öffnet den Port 1250 für einen Port-Scan und iniziiert das Herunterladen und Ausführen von Dateien auf den Opfer-PC, was eine Remote-Steuerung der Opfer-PCs durch den Virenautor ermöglicht
|
|
| Hinweis |
|
 |
|
Die Informationen auf dieser
Seite präsentieren wir Ihnen mit freundlicher Unterstützung
der Firma Kaspersky Lab Int. |
|
|
|
|
| |
|
|
|
|
