Rubrik: Virenwarnung/Aktuelle Meldungen

Kaspersky Labs: Mydoom-Hybrid gefährdet Nutzer von Antivirus-Programmen

Neuer Hybrid des Virus mit Namen Plexus.a in Umlauf

(12.06.04) - Kaspersky Labs warnt vor dem neuen Internet-Wurm "Plexus.a", der sich - auch über lokale Netzwerke - als E-Mail-Anhang, über Tauschbörsen und durch Sicherheitslücken im LSASS (Local Security Authority Subsystem Service) und RPC/DCOM (Remote Procedure Call/Distributed Component Object Model) von Microsoft Windows verbreitet. Die Analyse des Schädlings zeigt, dass er auf dem Quellcode von "Mydoom" basiert. Anwender von Antivirus-Programmen sind durch den neuen Virus gefährdet, da dieser das Herunterladen der Antiviren-Updates blockiert.

Zu seiner Verbreitung maskiert sich der Wurm als Distributiv gängiger Anwenderprogramme und kann PCs auch über lokale Netzwerke und Dateitauschbörsen infizieren. Der Großteil der Infektionen erfolgt jedoch über die Sicherheitslücken der Microsoft Windows-Dienste LSASS (wie auch bei "Sasser") und RPC/DCOM (wie auch bei "Lovesan").

Plexus.a taucht in fünf unterschiedlichen E-Mail-Varianten auf, wobei Betreffzeile, Briefkorpus und Dateinamen jeweils unterschiedlich benannt sein können. Unverändert ist jedoch die Größe: Als komprimierte FSG-Datei beträgt sie 16.208 Bytes, entpackt 57.856 Bytes.

Nach Ausführung kopiert sich der Wurm in den Systemordner von Windows unter dem Namen "upu.exe". Er registriert die Datei im Systemregister als "automatisch auszuführen", wodurch sich das Programm beim Hochfahren des PCs aktiviert. Zur Lokalisierung im Systemspeicher erstellt der Wurm den Identifikator "Expletus", was Doppelinfektionen verhindert. Danach scannt er das gesamte Dateisystem des infizierten PCs und versendet sich selbst an alle gefundenen E-Mail-Adressen.

Darüber hinaus versucht der Wurm den Antiviren-Schutz des PCs zu zerstören, indem er das automatische Herunterladen von Antivirus-Updates verhindert. Dies geschieht durch die Manipulation der für die Aktualisierung der Virenliste zuständigen Datei im Windows-Systemordner. Eine weitere Gefahr stellt der "trojanische Teil" von "Plexus.a" dar: Der Virus öffnet Port 1250 für einen Port-Scan und initiiert den Download und die Aktivierung bestimmter Dateien, die eine Remote-Steuerung des Opfer-PCs durch den Virenautor ermöglichen.

Eine genaue Beschreibung finden Sie unter:

http://www.viruslist.com/eng/viruslist.html?id=1618235. (ma)

Kaspersky Labs

Ansprechpartner: Denis Zenkin

Tel. (007-095) 9485650, Fax (007-095) 9484331

E-Mail: denis.zenkin@kaspersky.com

Ansprechpartner: Andreas Lamm

Spretistraße 7, D 85057 Ingolstadt

Tel. (0700) 55010000, Fax (0700) 55010001

E-Mail: andreas.lamm@kaspersky.de

Web: www.kaspersky.com