Вы находитесь на странице: 1из 3

"Лаборатория Касперского", сообщает об обнаружении нового опасного

интернет-червя "Plexus.a". Вредоносная программа распространяется по


локальным сетям и через интернет в виде вложений в зараженные электронные
письма, файлообменные сети, а также через уязвимости в службах LSASS и
RPC DCOM Microsoft Windows. Анализ текста вируса однозначно показывает,
что источником его создания стали исходные коды печально известного червя
Mydoom. Помимо стандартных для данного типа вредоносных программ
функций, деструктивный эффект воздействия Plexus заключается в нарушении
механизма загрузки обновлений Антивируса КасперскогоR. На настоящий
момент получено большое число сообщений о случаях заражения Plexus.a.

Для своего размножения сетевой червь использует большинство


известных принципов. Маскируясь под дистрибутивы популярных
пользовательских приложений, Plexus.a внедряется на компьютеры через
локальные и файлообменные сети. Значительное число заражений происходит
за счет использования уже известных уязвимостей в службах Microsoft
Windows: LSASS Microsoft Windows, которой воспользовался сетевой червь
Sasser (http://www.viruslist.ru/viruslist.html?id=145136997), и DCOM RPC - этот
метод проникновения на компьютер был реализован одним из лидеров
прошлогоднего вирусного рейтинга Lovesan
(http://www.viruslist.ru/viruslist.html?id=2727712). Таким образом, Plexus.a
поражает компьютеры, на которых не установлены специальные патчи,
устраняющие данные уязвимости.

Отличительной характеристикой механизма самораспространения нового


вируса является разнообразие вариантов исполнения зараженных электронных
писем. Для дезориентации пользователей Plexer.a применяет пять различных
вариантов писем. Они отличаются по формальным признакам: заголовку,
текстовому содержанию и названию приложенного к сообщению файла.
Неизменным остается его размер: упакованный в формате FSG файл занимает
16208 байт, распакованный - 57856. После запуска червь копирует себя в
системный каталог Windows с именем "upu.exe", и регистрирует данный файл в
ключе автозапуска системного реестра для обеспечения активации вредоносной
программы при каждой последующей загрузке компьютера. Для определения
своего присутствия в системе червь также создает уникальный идентификатор
"Expletus". Затем он сканирует файловую систему пораженного компьютера и
рассылает себя по всем найденных в них адресам электронной почты.

Помимо процедуры самораспространения, Plexer.a располагает еще


двумя деструктивными функциями, представляющими значительную угрозу для
инфицированного компьютера. Прежде всего, червь пытается разрушить
антивирусную защиту машин, защищенных Антивирусом Касперского. Для
этого он нарушает работу механизма автоматической загрузки обновлений
антивирусных баз. Это производится путем подмены содержимого
соответствующего файла в системной директории Windows.

Не меньшую опасность для зараженного компьютера представляет


троянская составляющая Plexer.a. C ее помощью вирус открывает на
прослушивание порт 1250, предоставляя возможность проводить загрузку
файлов на машину-жертву с их последующим запуском. Это дает
злоумышленникам доступ к удаленному управлению компьютером, в частности,
позволяет запускать на выполнение различные команды и загружать файлы по
усмотрению автора червя.

Процедуры защиты от "I-Worm.Bagle.b" уже добавлены в базу данных


Антивируса Касперского. Более подробная информация о данной вредоносной
программе доступна в Вирусной Энциклопедии Касперского
(http://www.viruslist.ru/alert.html?id=145268581).
Kaspersky Lab teatab, et on avastatud uus ohtlik internetiuss “Plexus.a”.
Kahjurprogramm levib nakatunud kirjade manustena läbi kohtvõrkude ja internetis,
aga ka Microsoft Windowsi LSASS ja RPC DCOM-teenuste turvaaukude kaudu.
Viiruse teksti analüüs näitab üheselt, et tema loomise algpunktiks said kurikuulsa ussi
Mydoom lähtekoodid. Peale sellise kahjurprogrammi standartsete tunnusjoonte
avaldub Plexuse destruktiivne mõju Kaspersky® Anti-Virus-e uuenduste
allalaadimismehhanismi rikkumises. Praeguseks hetkeks on tulnud suur hulk teateid
nakatumisjuhtudest Plexus.a-ga.

Võrguuss kasutab levimiseks enamikku teadaolevaist võimalustest.


Maskeerudes sarnaseks populaarsete kasutajaliideste versioonidele, tungib Plexus.a
arvutitesse koht- ja failivahetusvõrkude kaudu. Nakatumiste põhiline osa toimub
Microsoft Windowsi tuntud turvaaukude ärakasutamise arvelt: LSASS Microsoft
Windows, mida kasutas võrguuss Sasser
(http://www.viruslist.ru/viruslist.html?id=145136997) ja DCOM RPC – sellist
võimalust arvutisse tungida kasutas üks eelmise aasta viiruste edetabeli liidreid
LoveSan (http://www.viruslist.ru/viruslist.html?id=2727712). Niisiis kahjustab
Plexus.a arvuteid, millele pole loetletud turvaaukude kõrvaldamiseks lisatud
spetsiaalseid parandusi.

Uue viiruse iselevitumismehhanismi eripäraks on elektronkirjade


nakatamiseks kasutatavate variantide mitmekesisus. Et kasutajat segadusse viia,
kasutab Plexus.a viit erinevat kirjavarianti. Need erinevad üksteisest väliste tunnuste
järgi: pealkirja, sisu ja manusena lisatud faili nimetuse järgi. Muutumatuna püsib kirja
suurus: FSG-formaadis pakitud faili maht on 16208 baiti, lahti pakitud failil 57856
baiti. Pärast käivitumist kopeerib uss end Windowsi süsteemikataloogi nimetusega
“upu.exe” ja registreerub süsteemiregistrisse automaatkäivitusvõtmena, et
kahjurprogramm aktiveeruks iga kord, kui arvuti uuesti käivitatakse. Et määratleda
oma kohalolek süsteemis, loob uss unikaalse identifikaatori "Expletus". Seejärel
skanneerib ta nakatunud arvuti failisüsteemi ja saadab end kõigil leitud e-posti
aadressidel laiali.

Peale iseseisva levimise on Plexus.a-l veel kaks hävitava iseloomuga


funktsiooni, mis kujutavad nakatunud arvuti jaoks märkimisväärset ohtu. Eelkõige
püüab uss lõhkuda Kaspersky® Anti-Virus-e poolt turvatud arvuti viirusekaitset.
Selleks rikub ta viirusetõrjebaaside uuenduste automaatkäivitusmehhanismi töö. See
toimub Windowsi süsteemikataloogis oleva vastava faili sisu väljavahetamisega.

Nakatunud arvuti jaoks on samavõrd ohtlik Plexus.a-s sisalduv troojalane.


Selle abil avab viirus pealtkuulamiseks pordi 1250, andes võimaluse laadida
ohverarvutisse faile ning need hiljem käivitada. Nii saab kurjategija võimaluse arvutit
eemalt juhtida ning muu hulgas lubab ussi autoril täita erinevaid käske ja laadida
arvutisse erinevaid faile.

Kaspersky AntiViruse andmebaasi on juba lisatud kaitsevõimalused.


Üksikasjalikuma informatsiooni antud kahjurprogrammi kohta leiate Kaspersky
Viiruste Entsüklopeediast (http://www.viruslist.ru/alert.html?id=145268581).

Оценить