PARA USUARIOS

Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Buscar
Buscar

Soporte
Soporte 24 horas | Normas de contactar

Escribir

una solicitud al rellenar un formulario

Llamar

+7 (495) 789-45-86

Foro

Sus solicitudes

Crear una nueva solicitud

Llamar

+7 (495) 789-45-86

Perfil

ES

RU CN DE EN ES FR IT JP KZ UZ PL BY
Cerrar
Servicios
Escáneres
Dr.Web vxCube
Demo
Peritaje de IIV
Biblioteca de virus
Base de conocimiento

Tecnologías

Términos

Formación y educación

Mitos

Noticias

Win32.HLLM.Expletus.45056

(Email-Worm.Win32.Plexus.a, W32/Plexus.b@MM, Win32/Plexus.B!Worm, Win32.Worm.Plexus.A, Win32.Worm.Plexus.B, Win32/Plexus.D!Worm, W32.Explet.A@mm, Email-Worm.Win32.Plexus.b, WORM/Plexus.B, W32/Plexus.c@MM, Parser error, MS03-026_Exploit!Trojan, WORM_PLEXUS.B, W32/Plexus.a@MM, Generic.Mydoom.C60E4C26, WORM_PLEXUS.A, W32/Plexus.d@MM, I-Worm/Plexus.C, Win32/Mimail.W!Worm, Backdoor.Dumador.5, WORM_PLEXUS.C)

Added to the Dr.Web virus database: 2004-06-03

Virus description added:

Description

Win32.HLLM.Expletus.45056 is a mass-mailing worm which affects computers running under Windows operating systems. The size of the program module of the worm, FSG-packed, is 16, 208 bytes.

It disseminates via e-mail, shared drives and KaZaA peer-to-peer network.

It tries to exploit two vulnerabilities in the security systems of MS Windows NT\\2000\\ XP\\ Server 2003 – that in LSASS (for more details on it read the company’s bulletin MS04-011) and the so-called DCOM RPC vulnerability ( MS 03-026). In last case it may result in crash of this service.

Spreading

In search of e-mail addresses for propagation the worm scans the files with the following extensions: 

 
.htm 
.html
.php
.tbb
.txt
The worm propagates using its own SMTP engine.

The mail message infected with the worm may look as follows.
The sender’s address is spoofed by the worm.
The subject may be one of the following: 

RE: order 
For you 
Hi, Mike 
Good offer. 
RE:
Message body: 
Hi.
Here is the archive with those information, you asked me.
And don\\\'t forget, it is strongly confidencial!!!
 Seya, man.
P.S. Don\\\'t forget my fee ;) 
Hi, my darling :)
Look at my new screensaver. I hope you will enjoy...
Your Liza 
My friend gave me this account generator for http://www.pantyola.com I wanna share it with you :)
And please do not distribute it. It\\\'s private.  
Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me... 
Hi, Nick. In this archive you can find all those things, you asked me.
See you. Steve
The attachment is chosen from the following list: 
 SecUNCE.exe 
AtlantI.exe 
AGen1.03.exe 
demo.exe 
release.exe
To secure its propagation across KaZaA, the worm queries the registry entry
HKEY_CURRENT_USER\\Software\\Kazaa\\Transfer\\ DlDir0
in search of the KaZaA shared folder and copies itself there as follows: 
AVP5.xcrack.exe 
ICQBomber.exe 
hx00def.exe 
InternetOptimizer1.05b.exe 
Shrek_2.exe 
UnNukeit9xNTICQ04noimageCrk.exe 
YahooDBMails.exe
The files with the same names are placed to the shared drives of the network.

Win32.HLLM.Expletus.45056 - почтовый червь массовой рассылки, поражающий компьютеры под управлением операционных систем семейства Windows. Размер программного модуля вируса, упакованного утилитой сжатия FSG – 16 208 байт.

Распространяется по электронной почте, разделяемым директориям и файлообменной сети KaZaA.

Для попадания в систему червь пытается использовать сразу две уязвимости в системе безопасности MS Windows NT\\ 2000\\ XP\\ Server 2003: в сервисе LSASS (подробнее об этом читайте в бюллетене компании MS04-011) и так называемую уязвимость DCOM RPC (бюллетень MS 03-026). В последнем случае то может привести к отказу сервиса в работе.

В поисках почтовых адресов для своей рассылки для распространения по электронной почте червь сканирует локальную адресную книгу Windows и файлы, которые имеют следующие расширения 

 
.htm 
.html
.php
.tbb
.txt
Рассылка производится с помощью встроенного в тело червя механизма реализации протокола SMTP. Почтовое сообщение, инфицированное червем, выглядит следующим образом. Адрес отправителя: подставляется червем. Тема сообщения может быть одной из следующих: RE: order For you Hi, Mike Good offer. RE: Текст сообщения: Hi. Here is the archive with those information, you asked me. And don\'t forget, it is strongly confidencial!!! Seya, man. P.S. Don\'t forget my fee ;) Hi, my darling :) Look at my new screensaver. I hope you will enjoy... Your Liza My friend gave me this account generator for http://www.pantyola.com I wanna share it with you :) And please do not distribute it. It\'s private. Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me... Hi, Nick. In this archive you can find all those things, you asked me. See you. Steve Вложение выбирается из следующего списка: SecUNCE.exe AtlantI.exe AGen1.03.exe demo.exe release.exe Чтобы обеспечить свое распространение по файлообменной сети KaZaA, через ключ реестра HKEY_CURRENT_USER\\Software\\Kazaa\\Transfer\\ DlDir0 червь осуществляет поиск разделяемой директории KaZaA и копирует себя в нее в виде файлов со следующими названиями: AVP5.xcrack.exe ICQBomber.exe hx00def.exe InternetOptimizer1.05b.exe Shrek_2.exe UnNukeit9xNTICQ04noimageCrk.exe YahooDBMails.exe

Файлы с теми же названиями помещаются червем в разделяемые директории локальной сети. Чтобы избежать повторного инфицирования системы своими копиями, червь создает семафор Expletus . Далее он помещает в директорию Windows (в Windows 9x/ME/XP это C:\\Windows, в Windows NT/2000 это C:\\WINNT ) свою копию system32\\upu.exe.

Путь к своей копии червь прописывает в ключе реестра
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run
добавляя в него значение \"NvClipRsv\"

Червь блокирует доступ к веб-сайтам антивирусных компаний перезаписывая файл HOST файл (находящийся по адресу system32\\drivers\\etc\\ в директории Windows) 127.0.0.1 downloads-us1.kaspersky-labs.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 downloads-eu1.kaspersky-labs.com Через порт TCP\\1250 червь слушает сеть и в случае нахождения уязвимой системы отдает команду загрузить в нее файл _up.exe и запустить его. Открытие порта приводит к компрометации системы и возможности проведения в ней действий, несанкционированных ее легитимным пользователем, включая загрузку и запуск различных файлов.

Action

To avoid repeated infections with its copies the worm creates a mutex called Expletus . It drops to the Windows folder (in Windows 9x/ME/XP it’s C:\\Windows, in Windows NT/2000 it’s C:\\WINNT ) its copy named system32\\upu.exe.

The worm points to its copy in the registry key
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run
by adding the value \\\"NvClipRsv\\\" and the full path to it.

The worm blocks the access to web-sites of antivirus companies by overwriting HOST file resided at system32\\drivers\\etc\\ in the Windows folder) 

127.0.0.1  downloads-us1.kaspersky-labs.com
127.0.0.1  downloads1.kaspersky-labs.com
127.0.0.1  downloads2.kaspersky-labs.com
127.0.0.1  downloads4.kaspersky-labs.com
127.0.0.1  downloads-eu1.kaspersky-labs.com
On port TCP\\1250 the worm scans the network in search of vulnerable systems. Once a system is found, it instructs it to download and execute the file _up.exe. Opening of port TCP\\1250 results in system’s compromising and allows a remote attacker to download there and execute arbitrary files.