病毒別名
:I-Worm.Plexus.b 【AVP】 /I-Worm.Plexus.d 【KV】處理時間:
威脅級別:★★
中文名稱:網路荊棘
病毒類型:蠕蟲
影響系統:Win9x / WinNT
病毒行為
:這是一個集郵件附屬檔案傳染、局域網檔案共享傳染以及利用LSASS和RPC DCOM存在的漏洞傳染於一身的蠕蟲病毒。它是用Mydoom病毒原始碼改寫而成,更具迷惑性、破壞性和傳染性。它的圖示是WINZIP圖片,讓用戶以為是壓縮檔;運行它之後,首先它會彈出一個標題為“Error”,內容為可能是“CRC checksum failed.”、“Could not initialize installation. File size expected=26523, size returned=26344.”、“Pack method not implemented”、“File is corrupted.”的對話框,企圖迷惑用戶是壓縮檔無法打開,而病毒在後台悄悄運行。
1.將自己複製到區域網路中所有的已分享資料夾里以感染更多的機器。
2.利用LSASS和RPC DCOM存在的漏洞感染更多的機器。
3.它蒐集用戶的某些檔案中的郵件地址,然後將病毒體作為郵件傳送出去,郵件的主題是一些很有迷惑性的語句,企圖讓更多的用戶感染該病毒。
4.它通過替換%System32%\drivers\etc\hosts檔案來阻止Kaspersky Anti- Virus反病毒軟體升級。
1.它創建互斥量"expletus"防止自己的多個實例運行。
2.複製和生成檔案:
將自己複製為%System32%\upu.exe
生成檔案%SystemRoot%\svchost.exe、%System32%\【名字可變】.dll、%System32%\【名字可變】.exe、%System32%\setpupex.exe、%System32%\tek32.sys、%System32%\tek32.vxd、%System32%\tek32.dat
3.修改註冊表:
添加:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"InternetServ"="%SystemRoot%\svchost.exe"
HKEY_CLASSES_ROOT\CLSID\\InProcServer32\
"默認"="%System32%\【名字可變】.dll"
HKEY_CLASSES_ROOT\CLSID\\InProcServer32\
"ThreadingModel"="Apartment"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"Web Event Logger"=""
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\
"Use FormSuggest"="yes..."
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\
"FormSuggest Passwords"="yes..."
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\
"FormSuggest PW Ask"="yes..."
4.通過區域網路檔案共享傳播。將自己複製到區域網路重的共享資源裡面,檔案名稱字可能為下列名字之一:
AVP5.xcrack.exe
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe
5.通過LSASS和RPC DCOM存在的漏洞傳播。關於該漏洞請參考MS Security Bulletin MS04-011。
6.通過攜帶附屬檔案的電子郵件傳播。郵件內容可能為下列內容之一:
郵件標題:RE: order
郵件內容:
Hi. Here is the archive with those information, you asked me.
And don't forget, it is strongly confidencial!!! Seya, man. P.S. Don't forget my fee ;)
附屬檔案名字:
SecUNCE.exe
郵件標題:For you
郵件內容:
Hi, my darling :) Look at my new screensaver. I hope you will enjoy... Your Liza
附屬檔案名字:
AtlantI.exe
郵件標題:Hi, Mike
郵件內容:
My friend gave me this account generator for http://www.pantyola.com I wanna share it with you :) And please do not distribute it. It's private.
附屬檔案名字:
Agen1.03.exe
郵件標題:Good offer
郵件內容:
Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me...
附屬檔案名字:
demo.exe
郵件標題:RE:
郵件內容:
Hi, Nick. In this archive you can find all those things, you asked me. See you. Steve
郵件內容:
release.exe
7.修改%System32\drivers\etc\hosts檔案以阻止AVP升級,修改後的hosts檔案內容為:
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
8.打開TCP連線埠1250已經一些隨機開放的連線埠,向外界開放後門。
9.該病毒與天網防火牆共存一段時間後,可能導致系統藍屏。
10.該病毒下載的檔案會釋放驅動程式並且載入,隱藏木馬進程。