Вторая статья посвящённая вирусу-червю I-Worm.Plexus. Эта статья описывает другую модификацию вируса: I-Worm.Plexus.b. Будьте бдительны при проверке почты.
Сетевой червь. Распространяется по локальным сетям и через интернет в виде вложений в зараженные электронные письма, файлообменные сети, а также через уязвимости в службах LSASS и DCOM RPC Microsoft Windows.
Практически аналогичен первой версии, I-Worm.Plexus.a, за исключением некоторых изменений.
Написан на языке Microsoft Visual C++. Размер файла - 69632 байта.
Читать далее более подробно...
Размножение
Размножение через локальную и файлообменные сети
Червь копирует себя в папку обмена файлов и на доступные сетевые ресурсы используя следующие имена:
AVP5.xcrack.exe
hx00def.exe
ICQ04noimageCrk.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNT.exe
YahooDBMails.exe
Остальные механизмы размножения аналогичны использующимся в I-Worm.Plexus.a.
Инсталляция
При запуске копирует себя в каталог "Windows\System32" с именем "upu.exe".
Устанавливает:
в каталог "Windows\System32" файл с именем "setupex.exe";
в корневой каталог Windows файл с именем svchost.exe.
Файл "setupex.exe" является троянской proxy-программой TrojanProxy.Win32.Webber.h, написанной на языке Microsoft Visual C++. Имеет размер 47779 байт.
Файл "svchost.exe" является основным модулем червя, написанном на языке Microsoft Visual C++. Упакован FSG. Размер в запакованном виде - 16224 байт, в распакованном - 57857 байт.
Основная текстовая информация внутри файла зашифрована.
Содержит текстовую строку следующего содержания:
-== KAV I'm Expletus !!!. Made in China. ==-
Червь регистрирует себя в ключе автозагрузки системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"InternetServ"=[путь к исполняемому файлу]
Также червь создает уникальный идентификатор "Expletus.b" для определения своего присутствия в системе.
Ещо одна попытка суицида | Мой город - Четвёртый этап