Черви семейства W32/Plexus

Краткое описание

Тип Червь Win32
Среда обитания Операционные системы Windows 9x/Me/NT/2000/XP/Server 2003.
Известные модификации .A(обнаружен 03.06.04), .B(обнаружен 07.06.04), .C(обнаружен 08.06.04).
Способы распространения
  • Распространение по P2P-сетям обмена файлами и в общедоступных сетях
  • Распространение через Интернет, используя уязвимость в LSASS и RPC DCOM
  • Рассылка копий по электронной почте
    • Проявления
  • Возможности Backdoor-компоненты
  • Переписывает "hosts" файл
    • Используемые уязвимости ПО Для проникновения в систему может использовать уязвимость в службе LSASS(локальная подсистема аутентификации пользователей) Microsoft Windows. Уязвимость позволяет хакеру подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы(пользователь LocalSystem). Для закрытия этой уязвимости следует установить обновление http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx
    Для проникновения в систему также использует уязвимость Windows, из-за которой существует возможность размножения через службу RPC(Remote Procedure Call) DCOM(Distributed Component Object Model), служащей для удаленного вызова процедур в операционных системах семейства Windows NT, при этом нападающий получает полный доступ к целевой ПК. Для закрытия этой уязвимости следует установить обновление http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx
    Также известен под именами W32/Plexus (Sophos), W32/Plexus (Panda), WORM_PLEXUS (Trend), Win32.Plexus (Computer Associates), Win32.Mimail.W (Computer Associates), W32/Plexus (McAfee), I-Worm.Plexus (AVP), W32.Explet (Symantec), MultiDropper-KR, Win32/TrojanDropper.Mudrop.NAA.

    Внедрение в систему

    Червь упакован FSG.
    Получив управление, червь копирует себя в системный каталог Windows, в зависимости от версии, под именем upu.exe, supu.exe, setupex.exe и в каталог Windows под именем svchost.exe.
    Для автозапуска при загрузке Windows записывается в ключ системного реестра(значения в зависимости от версии): HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\NvClipRsv=\Window\UPU.EXE.
    Создает объект Mutex(объект синхронизации, который устанавливает состояние, когда только один поток владеет этим объектом в любой момент времени) с названием "Expletus". Это предотвращает двойную инфекцию.
    При запуске червь может отображать одно из следующих сообщений об ошибке:
    "CRC checksum failed.",
    "Pace method not implemented.",
    "Could not initialize installation. File size expected=26523, sizereturned=26344",
    "'File is corrupted."
    В теле червя может присутствовать следующая строка:
    "-== I'm Expletus. Made in China. ==-".
    Присутствие вируса можно заметить по наличию в памяти процесса с именами "upu.exe", "supu.exe", "setupex.exe" или "svchost.exe", замедлению работы компьютера, неожиданному трафику портов 135, 445, 1250 и других, присутствию файлов червя в отмеченном ключе реестра.

    Распространение

    Для распространения червь использует P2P-сети обмена файлами, общедоступные сети, интернет и электронную почту.

    Распространение по P2P-сетям обмена файлами и в общедоступных сетях.
    Если клиент Kazaa(через HKEY_CURRENT_USER\Software\Kazaa\Transfer\DlDir0) установлен, червь может копироваться в общедоступную папку KaZaA одноранговой сети с одним из следующих имен файла(с расширением EXE): AVP5.xcrack, InternetOptimizer1.05b, Shrek_2, UnNukeit9xNT, ICQ04noimageCrk, YahooDBMails, hx00def, ICQBomber и DlDir0.
    С этими же именами червь может распространяться в общедоступных сетевых дисках.

    Распространение через Интернет, используя уязвимость в LSASS и RPC DCOM.
    Для распространения, червь воздействует на удаленную ПК с операционными системами Windows 2003/XP/2000/NT. При этом осуществляет следующие действия:
  • создает случайные IP-адреса и пробует соединяться с ними;
  • если соединение успешно, то проверяет, имеет ли удаленная ПК следующие уязвимости:
    - LSASS: уязвимость критична только для компьютеров Windows XP/2000;
    - RPC DCOM: уязвимость критична только для компьютеров Windows 2003/XP/2000/NT.
  • если уязвимость есть, то посылает команды через порт TCP 445 (LSASS) или через порт TCP 135 (RPC DCOM) чтобы на удаленной ПК загрузить копию червя через сервер HTTP;
  • выполняется загруженная копия червя и ПК становится инфицированным.

    • Однако компьютеры с другими операционными системами Windows могут также быть инфицированы, когда пользователь выполняет червя на любом из этих ПК.
    При использовании уязвимости LSASS червь может выводить следующее сообщение:
    "This system is shutting down. Please save all
    work in progress and log off. Any unsaved
    changes will be lost. This shutdown was
    initiated by NT AUTHORITY\SYSTEM
    Time before shutdown: 00:00:55
    Message:
    The system process
    'C\WINDOWS\system32\lsass.exe'
    terminated unexpectedly with status code
    -1073741819. The system will now shut
    down and restart.".

    Рассылка копий по электронной почте
    Червь сканирует фиксированные диски, RAM диски и диски C:-Z: для поиска файлов с расширениями: htm, html, tbb, php и txt.
    Ищет адреса электронной почты в найденных файлах и посылает e-mail по найденным адресам, сохраняя их в файле с именем "outlook.cfg" в папке Windows.
    Не использует адреса содержащие следующие фразы: .gov, .mil, abuse, accoun, acketst, admin, anyone, arin., berkeley, borlan, bsd, bsd, bugs, ca, certific, contact, example, feste, fido, foo., fsf., gnu, gold-certs, google , google, gov., help, hotmail, iana, ibm.com, icrosof, icrosoft, ietf, info, inpris, isc.o, isi.e, kernel, linux, linux, listserv, math, me, mit.e, mozilla, msn., mydomai, mysqlruslis, no, nobody, nodomai, noone, not, nothing, ntivi, page, panda, pgp, postmaster, privacy, rating, rfc-ed, ripe., root, samples, secur, secur, sendmail, service, site, soft, somebody, someone, sopho, spa, spam, submit, subscribe, support, syma, tanford.e, the.bat, unix, unix, usenet, utgers.ed, webmaster, www, you и your.
    Червь распространяется, как файл присоединения, через e-mail, используя непосредственное подключение к SMTP-серверу.
    Адрес отправителя(сфабрикованный) случайно генерируется или выбирается из hotmail.com, yahoo.com, msn.com, aol.com с добавлением следующих имен или фраз к домену:
    alice, andrew, brenda, brent, brian, claudia, david, debby, george, helen, james, kevin, maria, Michael, peter, robert, sandra, smith, steve, mx, smtp, mail, mail1, ns или gate.
    Червь не посылает электронную почту, если обнаруживает, что нет связи с Internet.
    E-mail имеет следующие характеристики:
    Тема, в зависимости от версии: "RE: order", "For you", "Hi, Mike", "Good offer.", "RE:",...
    Сообщение, в зависимости от версии: "Hi.Here is the archive with those information, you asked me.And don't forget, it is strongly confidencial!!! Seya, man.P.S. Don't forget my fee ;)", "Hi, my darling :)Look at my new screensaver. I hope you will enjoy... Your Liza", "My friend gave me this account generator for http://www.pantyola.com I wanna share it with you :) And please do not distribute it. It's private.", "Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me...", "Hi, Nick. In this archive you can find all those things, you asked me.See you. Steve",...
    Имя присоединенного файла, в зависимости от версии: SecUNCE.exe, AtlantI.exe, AGen1.03.exe, demo.exe, release.exe,...
    В этом случае червь запускается самим пользователем при открытие прикрепленного файла.

    Проявления


    Возможности Backdoor-компоненты.
    Прослушивает порт TCP 1250, чтобы загрузить файл червя к временному каталогу как "_up.exe" и потом его выполнить.
    Выполняет отдельный поток прослушивания запросов для FTP к отправке червя, при этом порт выбирается случайно.
    В результате имеется возможность загрузки и выполнения файлов на инфицированном ПК. Таким образом, хакер может получить управление над инфицированным компьютером.

    Переписывает "hosts" файл.
    Блокирует обновление вирусных баз AVP, перезаписывая файл "hosts" в каталоге Windows\System32\drivers\etc\hosts следующими строками:
    127.0.0.1 downloads-eu1.kaspersky-labs.com;
    127.0.0.1 downloads2.kaspersky-labs.com;
    127.0.0.1 downloads4.kaspersky-labs.com;
    127.0.0.1 downloads1.kaspersky-labs.com;
    127.0.0.1 downloads-us1.kaspersky-labs.com.