Maskierter Wurm zerstört Anti-Viren-Schutz: "Plexus.a" nutzt Sicherheitslücken!

Der neue Internet-Wurm "Plexus.a" lässt sich nicht einmal von Anti-Viren-Software beeindrucken. Wie der russische Anti-Viren-Spezialist Kaspersky Lab berichtet, versucht der Schädling den Schutzschild des PCs zu zerstören, indem er das automatische Herunterladen von Anti-Viren-Updates verhindert.

Zu seiner Verbreitung maskiert sich der Wurm als Distributiv gängiger Anwenderprogramme und kann PCs über lokale Netzwerke, als E-Mail-Anhang oder via Dateitauschbörsen infizieren. Der Großteil der Infektionen erfolgt jedoch über die Sicherheitslücke der Microsoft Windows-Dienste LSASS und RPC/DCOM.

Plexus.a wird bei jedem Hochfahren des PCs aktiviert
Nach seinem Start kopiert sich der Wurm in den Systemordner von Windows und registriert sich als "automatisch auszuführen". Dadurch wird er bei jedem Hochfahren des PCs aktiviert. Nach dem Start scannt er das gesamte Dateisystem des Computers und versendet sich selbst an alle gefundenen E-Mail-Adressen. Eine weitere Gefahr stellt der "trojanische Teil" von Plexus dar. Der Virus öffnet Port 1250 für einen Port-Scan und initiiert den Download und die Aktivierung bestimmter Dateien. Dadurch wird eine Remote-Steuerung des Rechners durch den Virenautor ermöglicht.

Schädling basiert auf Mydoom-Quellcode
Der Malicious Code taucht in fünf unterschiedlichen E-Mail-Varianten auf, wobei Betreffzeile, Briefkorpus und Dateiname jeweils unterschiedlich sein können. Unverändert ist jedoch die Größe. Als komprimierte FSG-Datei beträgt sie 16.208 Bytes, entpackt 57.856 Bytes. Laut Analyse von Kaspersky basiert der Schädling auf dem Quellcode des Mydoom-Virus. (pte/red)