I-Worm.Plexus.

"Лаборатория Касперского" сообщает об обнаружении нового сетевого червя I-

Worm.Plexus.a, распространяющегося по локальным сетям и через интернет в
виде вложений в зараженные электронные письма, файлообменные сети, а
также через уязвимости в службах LSASS и RPC DCOM Microsoft Windows.

Создан на основании исходного кода сетевого червя I-Worm.Mydoom.

Написан на языке Microsoft Visual C++. Упакован FSG. Размер в запакованном

виде - 16208 байт, в распакованном - 57856. Основная текстовая информация
внутри файла зашифрована.

Инсталляция

При запуске копирует себя в каталог "Windows\System32" с именем "upu.exe".

Регистрирует себя в ключе автозагрузки системного реестра:

------------------------------
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
] "NvClipRsv"=[путь к исполняемому файлу]
------------------------------
Также червь создает уникальный идентификатор "Expletus" для определения
своего присутствия в системе.

Червь противодействует обновлению антивирусных баз Антивируса

Касперского. Для этого он заменяет содержимое файла "hosts" в каталоге
Windows "Windows\System32\drivers\etc\hosts" следующими данными:
------------------------------
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
------------------------------

Червь открывает на прослушивание порт 1250, предоставляя возможность

проводить загрузку файлов на машину-жертву с их последующим запуском.

Выпущено срочное обновление баз Антивируса Касперского, содержащее

процедуры защиты от I-Worm.Plexus.a. Чтобы скачать обновление баз с
зараженного червем компьютера, пользователю необходимо удалить файл
"hosts" из папки "Windows\System32\drivers\etc\hosts".

Полную версию данного предупреждения Вы можете прочитать на сайте

Viruslist.com: http://www.viruslist.com/alert.html?id=145268581.

Более детальное описание червя опубликовано в "Вирусной энциклопедии"

(Макс, тута ссылка).
 I-Worm.Plexus.a

Kaspersky Lab teatab uue võrguussi I-Worm.Plexus.a avastamisest. Uss levib

kohtvõrkudes ja internetis nakatatud kirjale lisatud manuse abil, failivahetusvõrkudes,
aga ka Microsoft Windowsi LSASS ja RPC DCOM teenuste turvaaukude kaudu.

I-Worm.Plexus.a on loodud võrguussi I-Worm.Mydoom koodi kasutades.

Uss on kirjutatud Microsoft Visual C++ keelt kasutades. Pakitud formaadis FSG.
Suurus pakitud kujul on 16208 baiti ja lahti pakituna 57856 baiti. Põhiline
informatsioon on failis šifreeritud teksti kujul.

Installeerimine.

Käivitamisel kopeerib end kataloogi "Windows\System32" nimega “upu.exe” ja

registreerub süsteemiregistrisse automaatkäivitusvõtmena:
------------------------------
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
] "NvClipRsv"=[tee käivitusfailini]
------------------------------
Samuti loob võrguuss unikaalse identifikaatori "Expletus" enda määratlemiseks
süsteemis.

I-Worm.Plexus.a takistab Kaspersky® Anti-Virus-e viirusetõrjebaaside uuendamist.

Selleks asendatakse Windows-kataloogis asuvas alamkataloogis
"Windows\System32\drivers\etc\hosts" oleva “hosts”- faili sisu järgmiste andmetega:
------------------------------
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
------------------------------

Avatakse pealtkuulamiseks port number 1250, mis võimaldab laadida failid

ohverarvutisse ja need hiljem käivitada.

Välja on lastud viirusetõrjebaaside kiiruuendus, mis sisaldab kaitseprotseduuri I-

Worm.Plexus.a vastu. I-Worm.Plexus.a-ga nakatunud arvutisse viirusetõrjebaaside
uuenduste tõmbamiseks tuleb eelnevalt kustutada Windows-kataloogis asuvas
alamkataloogis "Windows\System32\drivers\etc\hosts" olev “hosts” fail.

Selle hoiatuse täisversiooni võite lugeda võrgulehelt Viruslist.com:

http://www.viruslist.com/alert.html?id=145268581.

Ussi täpsem kirjeldus on avaldatud Viiruste Entsoklüpeedias.