Worm.Plexus.d

　　
　　病毒别名：I-Worm.Plexus.b [AVP] / I-Worm.Plexus.d [KV]
　　处理时间：
　　威胁级别：★★
　　中文名称：网络荆棘
　　病毒类型：蠕虫
　　影响系统：Win9x / WinNT
　　病毒行为:
　　这是一个集邮件附件传染、局域网文件共享传染以及利用LSASS和RPC DCOM存在的漏洞传染于一身的蠕虫病毒。它是用Mydoom病毒源代码改写而成，更具迷惑性、破坏性和传染性。它的图标是WINZIP图片，让用户以为是压缩包；运行它之后，首先它会弹出一个标题为“Error”，内容为可能是“CRC checksum failed.”、“Could not initialize installation. File size expected=26523, size returned=26344.”、“Pack method not implemented”、“File is corrupted.”的对话框，企图迷惑用户是压缩包无法打开，而病毒在后台悄悄运行。
　　1.将自己复制到局域网中所有的共享目录里以感染更多的机器。
　　2.利用LSASS和RPC DCOM存在的漏洞感染更多的机器。
　　3.它搜集用户的某些文件中的邮件地址，然后将病毒体作为邮件发送出去，邮件的主题是一些很有迷惑性的语句，企图让更多的用户感染该病毒。
　　4.它通过替换%System32%\drivers\etc\hosts文件来阻止Kaspersky Anti- Virus反病毒软件升级。
　　1.它创建互斥量"expletus"防止自己的多个实例运行。
　　2.复制和生成文件：
　　将自己复制为%System32%\upu.exe
　　生成文件%SystemRoot%\svchost.exe、%System32%\[名字可变].dll、%System32%\[名字可变].exe、%System32%\setpupex.exe、%System32%\tek32.sys、%System32%\tek32.vxd、%System32%\tek32.dat
　　3.修改注册表：
　　添加：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　"InternetServ"="%SystemRoot%\svchost.exe"
　　HKEY_CLASSES_ROOT\CLSID\\InProcServer32\
　　"默认"="%System32%\[名字可变].dll"
　　HKEY_CLASSES_ROOT\CLSID\\InProcServer32\
　　"ThreadingModel"="Apartment"
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
　　"Web Event Logger"=""
　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\
　　"Use FormSuggest"="yes..."
　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\
　　"FormSuggest Passwords"="yes..."
　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\
　　"FormSuggest PW Ask"="yes..."
　　4.通过局域网文件共享传播。将自己复制到局域网重的共享资源里面，文件名字可能为下列名字之一：
　　AVP5.xcrack.exe
　　hx00def.exe
　　ICQBomber.exe
　　InternetOptimizer1.05b.exe
　　Shrek_2.exe
　　UnNukeit9xNTICQ04noimageCrk.exe
　　YahooDBMails.exe
　　5.通过LSASS和RPC DCOM存在的漏洞传播。关于该漏洞请参考MS Security Bulletin MS04-011。
　　6.通过携带附件的电子邮件传播。邮件内容可能为下列内容之一：
　　邮件标题：RE: order
　　邮件内容：
　　Hi. Here is the archive with those information, you asked me.
　　And don&＃039;t forget, it is strongly confidencial!!! Seya, man. P.S. Don&＃039;t forget my fee ;)
　　附件名字：
　　SecUNCE.exe
　　邮件标题：For you
　　邮件内容：
　　Hi, my darling :) Look at my new screensaver. I hope you will enjoy... Your Liza
　　附件名字：
　　AtlantI.exe
　　邮件标题：Hi, Mike
　　邮件内容：
　　My friend gave me this account generator for http://www.pantyola.com I wanna share it with you :) And please do not distribute it. It&＃039;s private.
　　附件名字：
　　Agen1.03.exe
　　邮件标题：Good offer
　　邮件内容：
　　Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me...
　　附件名字：
　　demo.exe
　　邮件标题：RE:
　　邮件内容：
　　Hi, Nick. In this archive you can find all those things, you asked me. See you. Steve
　　邮件内容：
　　release.exe
　　7.修改%System32\drivers\etc\hosts文件以阻止AVP升级，修改后的hosts文件内容为：
　　127.0.0.1 downloads-eu1.kaspersky-labs.com
　　127.0.0.1 downloads2.kaspersky-labs.com
　　127.0.0.1 downloads4.kaspersky-labs.com
　　127.0.0.1 downloads1.kaspersky-labs.com
　　127.0.0.1 downloads-us1.kaspersky-labs.com
　　8.打开TCP端口1250已经一些随机开放的端口，向外界开放后门。
　　9.该病毒与天网防火墙共存一段时间后，可能导致系统蓝屏。
　　10.该病毒下载的文件会释放驱动程序并且加载，隐藏木马进程。