Làng Công nghệ Tổng hợp

Cảnh báo virus: I-Worm.Plexus.a

Plexus là loại virus máy tính được đánh giá khá nguy hiểm, có khả năng lây nhiễm đồng thời theo 3 con đường: e-mail, mạng chia sẻ tệp tin và lỗ hổng LSASS và RPC DCOM (trong Microsoft Windows). Plexus có chứa các đoạn mã viết lại của Mydoom bằng MS Visual C++, đoạn text chính được mã hoá.

Biệt danh: W32.Explet.A@mm

Ngày xuất hiện: 3/6/2004

Mô tả:

Sau khi xâm nhập vào hệ thống, Plexus sẽ tự nhân bản vào thư mục Windows\Systems 32 với cái tên upu.exe. và để có thể tự động chạy khi hệ thống khởi động, sâu sẽ tạo ra một giá trị trong khoá registry:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "NvClipRsv"=[đường dẫn tới file thực thi của virus]

Plexus cũng tạo ra một giá trị xác định duy nhất có tên 'expletus' để xác nhận sự tồn tại của bản thân trong hệ thống.

Lây nhiễm:

Qua mạng LAN và mạng chia sẻ tệp tin

Plexus tự nhân bản vào các thư mục chia sẻ và tài nguyên mạng dùng chung có thể tiếp cận dưới những tên sau:

AVP5.xcrack.exe
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe

Qua lỗ hổng trong Microsoft Windows

  • Lỗ hổng LSASS

Plexus khai thác lỗ hổng LSASS trong Windows (bạn có thể tham khảo chi tiết tại bản tin an ninh số

 MS04-011 của Microsoft)

  • Lỗ hổng RPC DCOM

Plexus cũng đồng thời khai thác lỗ hổng DCOM RPC theo các thức tương tự như virus Lovesan hồi năm ngoái (tham khảo chi tiết tại bản tin an ninh số

MS03-026 của Microsoft)

Qua file đính kèm theo e-mail

Plexus tìm kiếm trên ổ cứng máy tính nạn nhân các file có phần mở rộng sau để phát tán tới các địa chỉ đó:

htm
html
php
tbb
txt

- E-mail nhiễm virus có thể là một trong số các định dạng sau:

Biến thể 1

Tiêu đề:
RE: order
Thông điệp: 
Hi. Here is the archive with those information, you asked me. 

And don't forget, it is strongly confidencial!!! Seya, man. P.S. Don't forget my fee ;)
File đính kèm
SecUNCE.exe

Phiên bản 2

Tiêu đề
For you
T
hông điệp
Hi, my darling smile_image Look at my new screensaver. I hope you will enjoy...
 Your Liza
File đính kèm
AtlantI.exe

Phiên bản 3

Tiêu đề
Hi, Mike
Nội dung: 
My friend gave me this account generator for
 http://www.pantyola.com I wanna share it with you smile_image 
And please do not distribute it. It's private.
File đính kèm:
Agen1.03.exe

Phiên bản 4

Tiêu đề
Good offer
Nội dung:
Greets! I offer you full base of accounts with passwords of mail server
 yahoo.com. Here is archive with small part of it. You can see that all 
information is real. If you want to buy full base, please reply me...
File đính kèm: 
demo.exe

Phiên bản 5

Tiêu đề: 
RE:
Nội dung:
Hi, Nick. In this archive you can find all those things, you asked me. 
See you. Steve
File đính kèm
release.exe

Chức năng Trojan

Plexus mở cổng 1250 để cho phép tác giả của virus tải và thực thi file trên máy tính nạn nhân.

Thứ Sáu, 04/06/2004 11:46
31 👨 67

Bạn nên đọc

0 Bình luận
Sắp xếp theo
❖
Xóa Đăng nhập để Gửi
    ❖ Tổng hợp

    Cũ vẫn chất

    Xem thêm