Új féreg a neten: támad a Plexus
[Morpho] A Kaspersky Labs egy új, lehetséges veszélyeket rejtő internetes férget észlelt. A Plexus.A nevű kártevő három különböző módszerrel terjed: fertőzött e-mail csatolmányokkal, fájlmegosztó hálózatokon keresztül, illetve az MS Windows LSASS és RPC DCOM sebezhetőségeivel. A kód részletes elemzése megerősítette, hogy a vírus szerzője a Mydoom forráskódját használta kiindulási alapként. A féreg által végzett műveletek közé tartozik a Kaspersky Anti-Virus adatbázis-frissítések letöltésének megakadályozása.
A Plexus.A a szokványos fertőzési módszereket használja. A féreg népszerű alkalmazások részeinek álcázza magát, és a LAN, illetve fájlmegosztó hálózatokon keresztül hatol be a rendszerekbe. Jelentős számú fertőzés történt a jól ismert MS Windows sebezhetőségeken keresztül: a Sasser által használt LSASS, valamint a Lovesan terjedését biztosító RPC DCOM rések kihasználásával. A Lovesan még 2003. augusztusában támadt először, a Plexus.A mégis rengeteg olyan számítógépet talált és fertőzött meg, melyeken ez a sebezhetőség nem volt kijavítva.
A Plexus ötféle e-mail üzenetből választ a felhasználók megtévesztése céljából. Minden egyes üzenet más-más fejléccel, szöveggel és más fájlnevű csatolt fájllal rendelkezik. Az egyetlen állandó jellemző a fájlméret, amely 16,208 bájt, illetve 57,856 bájt FSG tömörítés nélkül.
Futásakor a Plexus.A "upu.exe" néven bemásolja magát a Windows rendszermappába. Ahhoz, hogy a féreg a gép minden egyes újraindításakor elinduljon, a Plexus.A ezt a fájlt automatikusan futtatandó kulcsként veszi fel a rendszerleíró adatbázisba. A féreg létrehozza az 'Expletus' azonosítót a rendszerben, így mindössze egyetlen másolat futhat a féregből a fertőzött gépen. Ezt követően a Plexus másolatokat küld önmagából az összes e-mail címre, melyet a helyi meghajtók vizsgálatával megszerzett.
A Plexus hatása kettős. A féreg először is az összes Kaspersky Anti-Virus szoftvert futtató számítógépet fenyegeti, mivel megpróbálja megakadályozni a vírusvédelmi adatbázisok automatikus frissítését. A Plexus lecseréli a rendszerleíró adatbázis egyik mappájának tartalmát: e mappa törléséig a felhasználóknak kézi módszerrel kell letölteni a frissítéseket.
A féreg másik hatása viszont az összes rendszert fenyegeti világszerte. A féreg megnyitja és figyeli az 1250-es portot, így lehetővé teszi fájlok távoli feltöltését és letöltését a fertőzött számítógépről. A nyitott port a fertőzés áldozatát további támadásoknak teszi ki.