Новый червь Plexus использует известные бреши ОС Microsoft

07 июня 2004

Специалисты компаний, производящих антивирусные программы, предупреждают о появлении нового почтового червя Plexus (другое имя - Explet.A), который, наподобие своих предшественников Sasser и Blaster, использует уже известные бреши Windows.

Подобно червю Sasser, Plexus использует недавно обнаруженную уязвимость в службах LSASS (Local Security Authority Subsystem Service - локальная подсистема аутентификации пользователей) и, подобно червю Blaster (появившемуся в прошлом августе), - брешь в системе DCOM (Distributed Component Object Model) ОС Windows, которая управляет сообщениями, приятыми с использованием протокола RPC (удалённый вызов процедур). Для первой бреши компания Microsoft выпустила заплатку еще в апреле.

Распространяется червь посредством файлов, прикреплённых к письмам. Адрес отправителя фальсифицируется, а в качестве темы используются "нейтральные" слова, типа "RE: order," "For you" и "Good offer." Если пользователь открывает заражённый файл, червь начинает действовать: он изменяет конфигурацию Windows, записывает себя в системный каталог и регистрируется в системном реестре. Сканируя жесткий диск поражённых компьютеров, он собирает почтовые адреса из самых разных файлов, включая веб-страницы, сохранённые в кодировке HTML, а затем начинает массово рассылать себя с использованием SMTP-сервера собственной реализации.

Для дальнейшего размножения червь копирует себя на общедоступные сетевые ресурсы, пытается проникнуть в локальные и файлообменные сети под видом полезных программ (типа Kazaa peer-to-peer network, используя имена героев из популярных мультфильмов) и т.п.

Специалисты рекомендуют пользователям установить уже выпущенные заплатки для известных брешей в ОС Windows и обновить их антивирусные программы для обнаружения червя Plexus.

Источник: http://www.pcworld.com/news/article/0,aid,116391,00.asp

9
;