|
卡巴斯基实验室已侦测到具有潜在危险的互联网新蠕虫病毒Plexus.a。Plexus.a有三种传播方式:利用被感染的电子邮件附件、利用文件共享网络、或利用MS windows中的LSASS和RPC DCOM漏洞传播。一份详细的对该病毒代码的分析指出,该病毒的制造者利用了Mydoom病毒的原代码。该蠕虫病毒的有效指令包含试图阻止卡巴斯基反病毒数据库更新的功能。
Plexus.a采用了一种标准的扇区感染方式。该蠕虫病毒通过伪装以各种常用的应用分发出去并能穿透局域网和文件共享网络。利用已知的MS Windowsr的漏洞,已有大量用户被感染:Sasser利用LSASS漏洞,Lovesan利用RPC DCOM漏洞。
Lovesan于2003年8月暴发,目前已发现Plexus.a感染了大量未打补丁的计算机。
Plexus.a选择通过5封邮件攻击用户。每个邮件拥有一个不同的字节头、字节主体及附件名称。其唯一的特征是没有改变文件的大小:通过FSG格式压缩后为16208字节,解压后为57856字节。
一旦执行Plexus.a,Plexus.a会将其自身复制并注册到Windows系统中upu.exe文件下。机器每次被重启时,Plexus.a都将upu.exe注册为一个自动执行的键值,通过这一点可确认Plexus.a病毒。该蠕虫病毒在系统中会创建"Expletus"标识符,意即被感染的机器只执行该蠕虫病毒的一个副本。最后,Plexus.a将自身的副本通过在本地捕获的所有邮件地址发送出去。
Plexus.a携带双份有效指令。首先,该蠕虫病毒通过试图阻止反病毒数据库的更新威胁所有运行卡巴斯基?反病毒软件的系统。Plexus.a取代系统注册表的一个文件夹中的内容:在该文件夹从被感染的机器中删除前,用户需要手动更新反病毒数据库。
该蠕虫的第二部分有效指令在全球范围内威胁着系统的安全。该蠕虫开启并跟踪1250端口,使被感染的计算机上的文件可被远程上传。这个开放的端口为实施对被感染的计算机的进一步攻击留下漏洞。
|
English
