Interframe Подключение Софт Info Magic Фото Почта Карта Нарвы
Пользователь
Забыли пароль? Регистрация
Сейчас на сайте

Пользователей на сайте: 42

3 пользователя, 39 гостей

Free slayer volk

Горячие новости

Уничтоженные гравийные дорожки на променаде - это
Счётчики

LiveInternet

Рейтинг@Mail.ru



I-Worm.Plexus.b

Вторая статья посвящённая вирусу-червю I-Worm.Plexus. Эта статья описывает другую модификацию вируса: I-Worm.Plexus.b. Будьте бдительны при проверке почты.

Сетевой червь. Распространяется по локальным сетям и через интернет в виде вложений в зараженные электронные письма, файлообменные сети, а также через уязвимости в службах LSASS и DCOM RPC Microsoft Windows.

Практически аналогичен первой версии, I-Worm.Plexus.a, за исключением некоторых изменений.

Написан на языке Microsoft Visual C++. Размер файла - 69632 байта.

Читать далее более подробно...

Размножение
Размножение через локальную и файлообменные сети

Червь копирует себя в папку обмена файлов и на доступные сетевые ресурсы используя следующие имена:

AVP5.xcrack.exe
hx00def.exe
ICQ04noimageCrk.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNT.exe
YahooDBMails.exe
Остальные механизмы размножения аналогичны использующимся в I-Worm.Plexus.a.

Инсталляция
При запуске копирует себя в каталог "Windows\System32" с именем "upu.exe".

Устанавливает:

в каталог "Windows\System32" файл с именем "setupex.exe";
в корневой каталог Windows файл с именем svchost.exe.

Файл "setupex.exe" является троянской proxy-программой TrojanProxy.Win32.Webber.h, написанной на языке Microsoft Visual C++. Имеет размер 47779 байт.

Файл "svchost.exe" является основным модулем червя, написанном на языке Microsoft Visual C++. Упакован FSG. Размер в запакованном виде - 16224 байт, в распакованном - 57857 байт.

Основная текстовая информация внутри файла зашифрована.

Содержит текстовую строку следующего содержания:

-== KAV I'm Expletus !!!. Made in China. ==-
Червь регистрирует себя в ключе автозагрузки системного реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "InternetServ"=[путь к исполняемому файлу]
Также червь создает уникальный идентификатор "Expletus.b" для определения своего присутствия в системе.


Безопасность Прямая ссылка Добавил: slayer 12.06.2004 00:07

|


Добавить комментарий

Зарегистрируйтесь на сайте, чтобы
не вводить код безопасности каждый раз.