| Bezeichnung |
Name |
Typ |
| Plexus.A |
Win32.Worm.Plexus.A |
Ausführender Backdoor Wurm Mass Mailer |
| Schaden |
Entdeckt |
Ermittelt |
| Mittel |
03.06.2004 |
03.06.2004 |
| Größe |
Verbreitung |
Noch unterwegs |
| 16.208 bytes (FSG packed), ~60K unpacked |
Mittel |
Unbekannt |
| Andere Namen |
| I-Worm.Plexus.A (Kaspersky AV) |
|
|
 |
Symptome :
|
1. Die Präsenz der "upu.exe" Datei im %system32% Ordner.
2. Der [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] Registry Key enthält die Entry "NvClipRsv", die den Pfad zur originalen, vernichteten Datei (e.g. C:1a.exe) enthält.
3) Port 1250 ist offen.
|
Technische Beschreibung:
|
Plexus benutzt mehrere Verbreitungswege.
1) Er enthält einen Netzwerk-Verbreitung Code, via RPC-DCOM (Security Bulletin MS03-026) und LSASS (Security Bulletin MS04-011) Schwachstellen.
2) Er enthält eine interne smtp Maschine, um sich per Massenmail zu versenden. Der Wurm sucht in lokalen Ordnern nach Dateien mit "htm", "html", "php", "tbb", "txt" Endungen für Email Adressen und verschickt sich selbst.
3) Er kopiert sich in Netzwerk Shares und Shareordner als "AVP5.xcrack.exe",
"hx00def.exe", "ICQBomber.exe", "InternetOptimizer1.05b.exe", "Shrek_2.exe", "UnNukeit9xNTICQ04noimageCrk.exe", "YahooDBMails.exe".
4) Er schreibt die %system32%driversetchosts Datei mit neuem Inhalt:
5) Er öffnet Port 1250, und wartet auf spezielle Kommandos, um eine bestimmte Datei runterzuladen und auszuführen.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Worm.Plexus.A Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
