Producenci oprogramowania antywirusowego ostrzegają o pojawieniu się nowego robaka sieciowego Plexus (znanego również jako Explet.A), który, podobnie jak jego poprzednicy Sasser i Blaster, wykorzystuje znane już luki w usłudze LSASS oraz DCOM systemu Windows. Co ciekawe, Plexus powstał na podstawie kodów źródłowych, błyskawicznie rozprzestrzeniającego się w styczniu br. robaka MyDoom.
Robak przedostaje się do komputerów głównie poprzez sieci lokalne, pocztę elektroniczną (jako załącznik e-maila) oraz sieci służące do wymiany plików P2P (m.in. Kazaa). Na infekcje narażone są również komputery, na których do tej pory nie zainstalowano łat blokujących dwie niebezpieczne luki w zabezpieczeniach Microsoft Windows: LSASS, którą wcześniej wykorzystał robak sieciowy Sasser oraz DCOM RPC - użytkowaną przez Lovesan.
Generowane przez robaka zainfekowane wiadomości e-mail występują w pięciu wersjach. Adres nadawcy jest sfałszowany, a jako temat wykorzystywane są wyrażenia neutralne typu "RE: order", "For you" oraz "Good offer". Do wysyłki mailingu robak wykorzystuje własny silnik SMTP.
Szkodnik posiada dwie funkcje dodatkowe. Pierwsza z nich utrudnia życie użytkownikom programów Kaspersky Anti-Virus. Szkodnik uniemożliwia automatyczne pobieranie uaktualnień antywirusowych baz danych. Druga funkcja stanowi zagrożenie dla wszystkich - robak otwiera port 1250, co pozwala hackerowi na zapisywanie i uruchamianie dowolnych aplikacji na zainfekowanym komputerze.
Robak napisany jest w języku Microsoft Visual C++. Obecnie wykryto już dwie jego odmiany: Plexus.a i Plexus.b.
Robak przedostaje się do komputerów głównie poprzez sieci lokalne, pocztę elektroniczną (jako załącznik e-maila) oraz sieci służące do wymiany plików P2P (m.in. Kazaa). Na infekcje narażone są również komputery, na których do tej pory nie zainstalowano łat blokujących dwie niebezpieczne luki w zabezpieczeniach Microsoft Windows: LSASS, którą wcześniej wykorzystał robak sieciowy Sasser oraz DCOM RPC - użytkowaną przez Lovesan.
Generowane przez robaka zainfekowane wiadomości e-mail występują w pięciu wersjach. Adres nadawcy jest sfałszowany, a jako temat wykorzystywane są wyrażenia neutralne typu "RE: order", "For you" oraz "Good offer". Do wysyłki mailingu robak wykorzystuje własny silnik SMTP.
Szkodnik posiada dwie funkcje dodatkowe. Pierwsza z nich utrudnia życie użytkownikom programów Kaspersky Anti-Virus. Szkodnik uniemożliwia automatyczne pobieranie uaktualnień antywirusowych baz danych. Druga funkcja stanowi zagrożenie dla wszystkich - robak otwiera port 1250, co pozwala hackerowi na zapisywanie i uruchamianie dowolnych aplikacji na zainfekowanym komputerze.
Robak napisany jest w języku Microsoft Visual C++. Obecnie wykryto już dwie jego odmiany: Plexus.a i Plexus.b.