Mydoom-Hybrid gefaehrdet Nutzer von Anti-Virus-Programmen: Neuer Hybrid des Virus mit Namen Plexus.a in Umlauf

(PresseBox) (Ingolstadt, ) Kaspersky Labs, ein international fuehrender Experte im Bereich IT-Sicherheit, warnt vor dem neuen Internet-Wurm "Plexus.a", der sich - auch ueber lokale Netzwerke - als E-Mail-Anhang, ueber Tauschboersen und durch Sicherheitsluecken im LSASS (Local Security Authority Subsystem Service) und RPC/DCOM (Remote Procedure Call/Distributed Component Object Model) von Microsoft Windows verbreitet. Die Analyse des Schaedlings zeigt, dass er auf dem Quellcode von "Mydoom" basiert. Anwender von Anti-Virus-Programmen sind durch den neuen Virus gefaehrdet, da dieser das Herunterladen der Anti-Viren-Updates blockiert.

Zu seiner Verbreitung maskiert sich der Wurm als Distributiv gaengiger Anwenderprogramme und kann PCs auch ueber lokale Netzwerke und Dateitauschboersen infizieren. Der Grossteil der Infektionen erfolgt jedoch ueber die Sicherheitsluecken der Microsoft Windows-Dienste LSASS (wie auch bei "Sasser") und RPC/DCOM (wie auch bei "Lovesan").

Plexus.a taucht in fuenf unterschiedlichen E-Mail-Varianten auf, wobei Betreffzeile, Briefkorpus und Dateinamen jeweils unterschiedlich benannt sein koennen. Unveraendert ist jedoch die Groesse: Als komprimierte FSG-Datei betraegt sie 16.208 Bytes, entpackt 57.856 Bytes.

Nach Ausfuehrung kopiert sich der Wurm in den Systemordner von Windows unter dem Namen "upu.exe". Er registriert die Datei im Systemregister als "automatisch auszufuehren", wodurch sich das Programm beim Hochfahren des PCs aktiviert. Zur Lokalisierung im Systemspeicher erstellt der Wurm den Identifikator "Expletus", was Doppelinfektionen verhindert. Danach scannt er das gesamte Dateisystem des infizierten PCs und versendet sich selbst an alle gefundenen E-Mail-Adressen.

Darueber hinaus versucht der Wurm den Anti-Viren-Schutz des PCs zu zerstoeren, indem er das automatische Herunterladen von Anti-Virus-Updates verhindert. Dies geschieht durch die Manipulation der fuer die Aktualisierung der Virenliste zustaendigen Datei im Windows-Systemordner. Eine weitere Gefahr stellt der "trojanische Teil" von "Plexus.a" dar: Der Virus oeffnet Port 1250 fuer einen Port-Scan und initiiert den Download und die Aktivierung bestimmter Dateien, die eine Remote-Steuerung des Opfer-PCs durch den Virenautor ermoeglichen.

Der Schutz gegen "Plexus.a" ist bereits Bestandteil der Anti-Viren-Datenbank von Kaspersky Labs. Eine genaue Beschreibung finden Sie unter: http://www.viruslist.com/....

Kontakt

Kaspersky Labs GmbH
Despag-Straße 3
D-85055 Ingolstadt
Elke Woessner
essential media GmbH
Social Media