Показано с 1 по 3 из 3.

I-Worm.Plexus.a

  1. #1
    Geser
    Guest

    I-Worm.Plexus.a

    I-Worm.Plexus.a
    [ 03.06.2004 10:24, обновлено 03.06.2004 12:15, GMT +03:00, Москва ]
    Опасность : средняя

    "Лаборатория Касперского" сообщает об обнаружении нового сетевого червя I-Worm.Plexus.a, распространяющегося по локальным сетям и через интернет в виде вложений в зараженные электронные письма, файлообменные сети, а также через уязвимости в службах LSASS и RPC DCOM Microsoft Windows.

    Создан на основании исходного кода сетевого червя I-Worm.Mydoom.

    Написан на языке Microsoft Visual C++. Упакован FSG. Размер в запакованном виде - 16208 байт, в распакованном - 57856. Основная текстовая информация внутри файла зашифрована.

    Инсталляция
    При запуске копирует себя в каталог "Windows\System32" с именем "upu.exe".

    Регистрирует себя в ключе автозагрузки системного реестра:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
    "NvClipRsv"=[путь к исполняемому файлу]
    Также червь создает уникальный идентификатор "Expletus" для определения своего присутствия в системе.

    Размножение
    Через локальную и файлообменные сети
    Червь копирует себя в папку обмена файлов и на доступные сетевые ресурсы используя следующие имена:

    AVP5.xcrack.exe
    hx00def.exe
    ICQBomber.exe
    InternetOptimizer1.05b.exe
    Shrek_2.exe
    UnNukeit9xNTICQ04noimageCrk.exe
    YahooDBMails.exe
    Через уязвимости в службах LSASS и DCOM RPC Microsoft Windows
    Червь использует уязвимость в службе LSASS Microsoft Windows (ею же пользовался сетевой червь Sasser). Ее описание приведено в Microsoft Security Bulletin MS04-011.

    Патч, исправляющий данную уязвимость, был выпущен 13 апреля 2004 года; скачать его можно по ссылке выше.

    Также червь, подобно прошлогоднему сетевому червю Lovesan, использует уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026.

    Патч, исправляющий данную уязвимость, можно скачать по ссылке выше.

    Размножение в виде вложений в зараженные электронные письма
    Червь ищет на диске файлы с расширениями из списка:

    htm
    html
    php
    tbb
    txt
    И рассылает себя по всем найденным в них адресам электронной почты.

    Варианты писем:


    Заголовок:
    RE: order
    Текст:
    Hi. Here is the archive with those information, you asked me. And don't forget, it is strongly confidencial!!! Seya, man. P.S. Don't forget my fee
    Имя вложения:
    SecUNCE.exe

    Заголовок:
    For you
    Текст:
    Hi, my darling Look at my new screensaver. I hope you will enjoy... Your Liza
    Имя вложения:
    AtlantI.exe

    Заголовок:
    Hi, Mike
    Текст:
    My friend gave me this account generator for http://www.pantyola.com I wanna share it with you And please do not distribute it. It's private.
    Имя вложения:
    AGen1.03.exe

    Заголовок:
    Good offer.
    Текст:
    Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me...
    Имя вложения:
    demo.exe

    Заголовок:
    RE:
    Текст:
    Hi, Nick. In this archive you can find all those things, you asked me. See you. Steve
    Имя вложения:
    release.exe
    Действие
    Червь противодействует обновлению антивирусных баз Антивируса Касперского. Для этого он заменяет содержимое файла "hosts" в каталоге Windows "Windows\System32\drivers\etc\hosts" следующими данными:

    127.0.0.1 downloads1.kaspersky-labs.com
    127.0.0.1 downloads2.kaspersky-labs.com
    127.0.0.1 downloads4.kaspersky-labs.com
    127.0.0.1 downloads-eu1.kaspersky-labs.com
    127.0.0.1 downloads-us1.kaspersky-labs.com
    Загрузка и запуск файлов
    Червь открывает на прослушивание порт 1250, предоставляя возможность проводить загрузку файлов на машину-жертву с их последующим запуском.

    http://www.viruslist.com/alert.html?id=145268581

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Andrey
    Регистрация
    12.11.2004
    Адрес
    Россия, г.Архангельск
    Сообщений
    406
    Вес репутации
    56

    Re:I-Worm.Plexus.a

    Все это хорошо, но зачем http://www.viruslist.com перепечатывать. Плагиат, однако.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    736

    Re:I-Worm.Plexus.a

    Цитата Сообщение от Andrey
    Все это хорошо, но зачем http://www.viruslist.com перепечатывать. Плагиат, однако.
    Плагиат - если выдавать за свое. При наличии указания на источник - все нормально.

Похожие темы

  1. Worm.AutoRun а так же Worm.Kolab
    От Dimihi в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 26.12.2009, 20:23
  2. Net-Worm.Win32.Kido.ih и Worm.Win32.AutoRun.ezt
    От zagraba в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 06.12.2009, 11:53
  3. Ответов: 24
    Последнее сообщение: 12.04.2009, 00:10
  4. Net-Worm.Win32.Slammer Он же Win.MSSQL.worm.Helkern.
    От TeXeT в разделе Вредоносные программы
    Ответов: 4
    Последнее сообщение: 28.07.2008, 13:21
  5. Помогите - WORM/RJUMP.B.1+WORM/RJUMP.E+W32.Fakerecy
    От Ultra Breaker в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 23.12.2007, 00:49

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00341 seconds with 19 queries