Компания "Лаборатория Касперского" обнаружила новую вредоносную программу Plexus, способную распространяться по электронной почте в виде файлов-вложений, а также через уязвимости в службах LSASS (локальная подсистема аутентификации пользователей) и RPC DCOM (удаленный вызов процедур) Microsoft Windows.
Червь написан на языке Visual C++ с использованием исходного кода вируса Mydoom. Размер в запакованном виде составляет 16208 байт, в распакованном - 57856 байт. После запуска вредоносная программа записывает себя в системный каталог Windows под именем upu.exe, регистрируется в ключе автозагрузки реестра и пытается воспрепятствовать обновлению баз данных антивируса Касперского.
Для дальнейшего размножения червь Plexus копирует собственный код на общедоступные сетевые ресурсы, пытается проникнуть в файлообменные сети под видом полезных утилит и осуществляет массовые рассылки писем по электронной почте, предварительно собрав адреса из файлов с расширениями .htm, .html, .php, .tbb и .txt. Кроме того, как уже упоминалось, Plexus способен задействовать дыры в подсистемах LSASS и RPC DCOM. Наконец, вирус открывает на прослушивание порт 1250, предоставляя возможность осуществлять загрузку файлов на машину-жертву с их последующим запуском.
"Лаборатория Касперсокого" уже выпустила обновления антивирусных баз данных, правда, в том случае, если компьютер заражен червем, пользователю для загрузки апдейта предварительно придется удалить файл hosts из папки WindowsSystem32driversetchosts.
Следует также добавить, что одновременно с обнаружением вируса Plexus компания Panda Software зафиксировала появление очередной версии вредоносной программы Padobot (другое название Korgo). Вариант с индексом "D" функционально практически не отличается от своих предшественников, хотя с целью маскировки больше не выводит на дисплей сообщений об ошибке. Напомним, что вирус Padobot также использует дыру в службе LSASS.
