«Plexus.a»: Internetwurm schaltet Virenschutz aus

Infizierung über E-Mail, Tauschbörsen und LSASS-Lücke

05. Juni 2004
Antiviren-Experten der Russischen «Kaspersky Labs» berichten über den neuen gefährlichen Internet-Wurm «Plexus.a», der sich auch über lokale Netzwerke als Anhang zu E-Mail-Nachrichten, Tauschbörsen und durch Sicherheitslücken im LSASS (Local Security Authority Subsystem Service) und RPC/DCOM (Remote Procedure Call/Distributed Component Object Model) von Microsoft Windows ausbreitet. Problematisch ist der Wurm vor allem, weil er das Herunterladen der Updates der Anti-Viren Dateien verhindert, zumindest für Kaspersky-eigenen Anti-Virus.

Zu seiner Verbreitung maskiert sich der Wurm als Distributiv bekannter Anwenderprogramme und kann PCs über lokale Netzwerke und Dateitauschbörsen infizieren. Die meisten Infektionen erfolgen über die Sicherheitslücken der Microsoft Windows Dienste LSASS (wie auch im Fall von Sasser) und RPC/DCOM (wie im Fall von Lovesan).

«Plexus.a» kommt in fünf verschiednen E-Mail Varianten vor, wobei sich jeweils Betreffzeile, Text und Dateinamen unterscheiden können. Unverändert ist jedoch die jeweillige Größe: Als FSG Datei komprimiert 16208 Byte - ausgepackt 57856. Laut Kaspersky Labs zeigt die Textanalyse des Wurms, dass der Quellquode von «Mydoom» Basis für diesen neuen Wurm ist.

Nach Ausführung kopiert sich der Wurm in den Systemordner von Windows unter dem Namen «upu.exe» und registriert die Datei als «automatisch ausführen» im Systemregister. Dadurch startet das böswillige Programm beim Hochfahren des PCs. Zur Lokalisierung im Systemspeicher erstellt der Wurm den Identifikator «Expletus», was Doppelinfektionen verhindert. Danach scannt er das gesamte Datei-System des infizierten PCs und versendet sich an alle gefundenen E-Mail-Adressen.

Eine weitere Gefahr stellt der trojanische Teil von «Plexus.a» dar. Der Virus öffnet den Port 1250 für einen Port-Scan und iniziiert das Herunterladen und Ausführen von Dateien auf den Opfer-PC, was eine Remote-Steuerung der Opfer-PCs durch den Virenautor ermöglicht.

Kaspersky bietet für seinen Anti-Virus bereits entsprechende Updates an. Andere Antiviren-Hersteller haben den Wurm zum Teil einen niedrigen Risiko-Status gegeben und wollen mit den Updates demnächst nachziehen. Nach Attaken von Sasser und Mydoom sollten die Sicherheitslücken (MS04-011, MS03-026) bei den meisten Anwendern bereits geschlossen sein.

Hinweis: Wir haben in diesem Artikel Partner-Links (Affiliate-Links) verwendet, die Nutzer auf Websites Dritter führen. Erfolgt über diese Links eine Bestellung, erhält tarif4you.de unter Umständen eine Provision. Für den Besteller entstehen keine Mehrkosten. Sie können diese Produkte/Dienste auch direkt beim jeweiligen Anbieter oder woanders kaufen. Die hier integrierten Werbelinks sind nur ein Vorschlag und stellen weitere Informationen zur Verfügung. Die Vergütung trägt dazu bei, dass wir unseren Service für Sie kostenlos anbieten können. Partnerprogramme haben keinerlei Einfluss auf unsere redaktionelle Berichterstattung oder Platzierungen in Tarifrechnern.

Lesen Sie unsere News auch als RSS-Feed

 
+++ Anzeige +++