病毒名:Win32.Plexus.B
别名:W32.Explet.A@mm (Symantec), MS03-026 Exploit.Trojan, W32/Plexus.B (F-Secure), I-Worm.Plexus.b(Kaspersky),W32/Plexus.b@MM
种类:Win32
类型:蠕虫
疯狂度:低
破坏度:高
普及度:高
病毒特征:Win32.Plexus.B 是通过邮件和点对点共享文件传播的,并且通过135和445端口来攻击操作系统。它打开一个后门未经允许的进入到一台受感染的机器中。
感染方式:最初是一个可执行文件。执行它会有以下界面:
一开始,病毒文件把自己拷贝到下列场所:
%Windows%\system32\upu.exe (40,800 bytes, FSG-packed)
%Windows%\system32\supu.exe (40,800 bytes, FSG-packed)
它通常执行下列文件:
%Windows%\system32\setupex.exe
%Windows%\svchost.exe
每次启动系统时病毒运行修改下列注册键值:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NvClipRsv = %Windows%\svchost.ex
注释:'%Windows%'是一个可变的场所,蠕虫根据被感染机器的操作系统决定当前的系统文件夹。默认情况下, WIN2000和NT的安装位置是C:\WINNT ;95,98和ME的是c:\windows;xp的是c:\windows.病毒会建立一个互斥体 'Expletus',避免同时执行多个病毒进程。
注释:如果文件名不包括'upu.exe'将显示下列信息。如果文件中包括邮件或KAZAA,就会显示下列信息:
Pack method not
implemented.
Could not initialize installation. File
size expected=26523, size returned=26344.
File is corrupted.
CRC checksum failed.
例如:
传播方式:
利用135和445端口
病毒连接135端口产生IP地址利用RPCSS系统漏洞攻击Windows
NT、 2000、XP 和 Server 2003,会显示下列错误信息:
请到Microsoft:站点,下载适当的补丁:
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx
病毒为了利用LSASS缓冲区漏洞试图连接到445端口的IP地址。被感染的机器可能损坏LSASS系统。
请到Microsoft:站点,下载适当的补丁:
http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx
通过点对点传播
病毒寻找Kazaa下栽地址姓名阅读这个注册键值:
HKCU\Software\Kazaa\Transfer\DlDir0
如果键值存在,利用下列扩展名为".EXE"的文件名病毒拷贝自己到地址目录:
AVP5.xcrack
InternetOptimizer1.05b
Shrek_2
UnNukeit9xNTICQ04noimageCrk
YahooDBMails
hx00def
ICQBomber
经过邮件传播
Plexus.B会从被感染的机器上获得邮件地址发送病毒邮件,它会通过搜索C盘到Z盘而得到邮件地址,并验证扩展名为下列邮件地址:
htm;html;tbb;php
病毒邮件可能有下列内容:
Hi.
Here is the archive with those
information, you asked me.
And don't forget, it is strongly confidencial!!!
Seya, man.
P.S. Don't forget my fee ;)
Hi, my darling :)
Look at my new screensaver. I hope you
will enjoy...
Your Liza
My friend gave me this
account generator for http://www.pantyola.com I wanna
share it with you :)
And please
do not distribute it. It's private.
Greets! I offer you full
base of accounts with passwords of mail server yahoo.com. Here is archive with
small part of it. You can see that all information is real. If you want to buy
full base, please reply me...
Hi, Nick. In this archive
you can find all those things, you asked me.
See you. Steve
下列题目列表:
RE: order
For you
Hi, Mike
Good offer.
RE:
可能的附件名称:
SecUNCE.exe
AtlantI.exe
AGen1.03.exe
demo.exe
release.exe
可能的邮件域是:
hotmail.com
yahoo.com
msn.com
aol.com
例如
病毒不能发送到包含下列名字的邮件地址:
anyone;
bugs;
ca;
contact;
feste;
gold-certs;
help;
info;
me;
no;
nobody;
noone;
not;
nothing;
page;
postmaster;
privacy;
rating;
root;
samples;
service;
site;
soft;
somebody;
someone;
submit;
the.bat;
webmaster;
you;
your;
或者是下面域的地址:
.gov;
.mil;
acketst;
arin.;
avp;
borlan;
bsd;
example;
fido;
foo.;
fsf.;
gnu;
google;
gov.;
hotmail;
iana;
ibm.com;
icrosof;
ietf;
inpris;
isc.o;
isi.e;
kernel;
linux;
math;
mit.e;
mozilla;
msn.;
mydomai;
mysqlruslis;
nodomai;
panda;
pgp;
rfc-ed;
ripe.;
secur;
sendmail;
sopho;
syma;
tanford.e;
unix;
usenet;
utgers.ed;
或者收件人邮件地址包括下列:
accoun;
bsd;
certific;
google;
icrosoft;
linux;
listserv;
ntivi;
subscribe;
support;
unix;
危害:
后门功能
病毒在被感染机器上打开两个后门程序,首先是在FTP服务器上开放任意的一个TCP的32767以上的端口,这个端口可以为蠕虫提供一个重新分发自己到被感染机器上的方式。
第二个后门是在TCP1250端口运行。连接后,后门下载一个已有的文件到 %Temp%目录下并执行它。它将允许蠕虫病毒的更新。
Edits Host文件
病毒打开Hosts文件(在以NT为核心的系统里搜索%Windows%\system32\drivers\etc\hosts)并且停止下列URLs服务:
downloads-eu1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads4.kaspersky-labs.com
downloads1.kaspersky-labs.com
downloads-us1.kaspersky-labs.com
病毒的清除:
KILL病毒专杀工具
KILL病毒代码库升级地址
|
