Virus 版 (精华区)

发信人: FongHit (Fong), 信区: Virus
标  题: 混合型新病毒试图阻止KAV 反病毒数据库更新  
发信站: BBS 哈工大紫丁香站 (Tue Jun  8 21:21:07 2004)

卡巴斯基实验室已侦测到具有潜在危险的互联网新蠕虫病毒Plexus.a。Plexus.a有三种传
播方式：利用被感染的电子邮件附件、利用文件共享网络、或利用MS windows中的LSASS和
RPC DCOM漏洞传播。一份详细的对该病毒代码的分析指出，该病毒的制造者利用了Mydoom
病毒的原代码。该蠕虫病毒的有效指令包含试图阻止卡巴斯基反病毒数据库更新的功能。
 

Plexus.a采用了一种标准的扇区感染方式。该蠕虫病毒通过伪装以各种常用的应用分发出
去并能穿透局域网和文件共享网络。利用已知的MS Windowsr的漏洞，已有大量用户被感染
： Sasser利用LSASS漏洞，Lovesan利用RPC DCOM漏洞。
Lovesan于2003年8月暴发，目前已发现Plexus.a感染了大量未打补丁的计算机。Plexus.a
选择通过5封邮件攻击用户。每个邮件拥有一个不同的字节头、字节主体及附件名称。其唯
一的特征是没有改变文件的大小：通过FSG格式压缩后为16208字节，解压后为57856字节。
一旦执行Plexus.a，Plexus.a会将其自身复制并注册到Windows系统中upu.exe文件下。机
器每次被重启时，Plexus.a都将upu.exe注册为一个自动执行的键值，通过这一点可确认P
lexus.a病毒。该蠕虫病毒在系统中会创建"Expletus"标识符，意即被感染的机器只执行该
蠕虫病毒的一个副本。最后，Plexus.a将自身的副本通过在本地捕获的所有邮件地址发送
出去。Plexus.a携带双份有效指令。首先，该蠕虫病毒通过试图阻止反病毒数据库的更新
威胁所有运行卡巴斯基® 反病毒软件的系统。Plexus.a取代系统注册表的一个文件夹
中的内容：在该文件夹从被感染的机器中删除前，用户需要手动更新反病毒数据库。
该蠕虫的第二部分有效指令在全球范围内威胁着系统的安全。该蠕虫开启并跟踪1250端口
，使被感染的计算机上的文件可被远程上传。这个开放的端口为实施对被感染的计算机的
进一步攻击留下漏洞。卡巴斯基实验室已对反病毒数据库做了紧急升级。如果用户怀疑自
己的机器被该病毒感染，可通过互联网手动更新最新的反病毒数据库。

--
***********************************
* ftp://movie:movie@210.46.78.217  *
***********************************

※ 来源:·哈工大紫丁香 http://bbs.hit.edu.cn·[FROM: 210.46.78.217]