PLEXUS.B segun vsantivirus:
[quote]
W32/Plexus.B. Usa e-mail, P2P, RPC/DCOM y LSASS
VSantivirus No. 1432 Año 8, lunes 7 de junio de 2004
W32/Plexus.B. Usa e-mail, P2P, RPC/DCOM y LSASShttp://www.vsantivirus.com/plexus-b.htm
Nombre: W32/Plexus.B
Tipo: Gusano de Internet y caballo de Troya de acceso remoto
Alias: Plexus.B, Expletus, Win32/Plexus.B, WORM_PLEXUS.B, W32/Plexus@MM, I-Worm.Plexus.b, W32.Explet.B@mm
Fecha: 4/jun/04
Plataforma: Windows 32-bit
Tamaño: 40,800 bytes
Gusano que solo se ejecuta en Windows NT, 2000 y XP, y que se propaga a través del correo electrónico, redes P2P, y de recursos compartidos en redes, valiéndose de dos conocidas vulnerabilidades:
1. Desbordamiento de búfer en los procesos RPC/DCOM que afecta a equipos ejecutando Windows XP y 2000 sin el parche respectivo (verhttp://www.vsantivirus.com/vulms03-026-027-028.htm yhttp://www.vsantivirus.com/vulms04-012.htm ).
RPC (Llamada a Procedimiento Remoto), es un protocolo que proporciona a Windows un mecanismo de comunicación entre procesos para que un programa que se está ejecutando en un equipo ejecute fácilmente código en un equipo remoto. La vulnerabilidad afecta las interfaces del protocolo DCOM. DCOM (Modelo de Objeto Componente Distribuido) es un protocolo que nos muestra un conjunto de interfaces que permiten a los clientes y servidores comunicarse. Usando una interfase DCOM, un programa puede iniciar una Llamada de Procedimiento Remoto (RPC) a un objeto de otro programa. Este fallo es explotado también por el gusano Lovsan (Blaster).
2. Vulnerabilidad en componentes del proceso LSASS (Local Security Authority Subsystem), reparada por Microsoft en su parche MS04-011 (ver "MS04-011 Actualización crítica de Windows (835732)",http://www.vsantivirus.com/vulms04-011.htm ), de la que también se vale el gusano Sasser. El fallo afecta a las computadoras que estén ejecutándose bajo Windows XP o 2000, sin el parche MS04-011 instalado.
LSASS controla varias tareas de seguridad consideradas críticas, incluyendo control de acceso y políticas de dominios. Una de las interfaces MS-RPC asociada con el proceso LSASS, contiene un desbordamiento de búfer que ocasiona un volcado de pila, explotable en forma remota. La explotación de este fallo, no requiere autenticación, y puede llegar a comprometer a todo el sistema.
Debido al uso de estas vulnerabilidades, un equipo infectado puede reiniciarse cada pocos segundos, mostrando antes un mensaje como el siguiente:
Apagar el sistema
Se está apagando el sistema. Guarde todo
trabajo en curso y cierre la sesión. Se perderá
cualquier cambio que no haya sido guardado.
El apagado ha sido iniciado por NT
AUTORITHY\SYSTEM
Tiempo restante
para el apagado: xx:xx:xx
Y luego la referencia a un procedimiento remoto (RPC) o al archivo LSASS.EXE.
El gusano posee capacidad de acceso por puerta trasera, pudiendo un atacante ejecutar comandos en forma remota en la computadora infectada.
Modifica el archivo HOSTS, impidiendo el acceso al sitio de un determinado fabricante de antivirus.
Se puede propagar por redes de intercambio de archivos entre usuarios (P2P).
Los mensajes infectados pueden tener las siguientes características:
Ejemplo 1:
De: [dirección falsa]
Asunto: Good offer
Datos adjuntos: demo.exe
Texto del mensaje:
Greets! I offer you full base of accounts with passwords
of mail server yahoo.com. Here is archive with small part
of it. You can see that all information is real. If you
want to buy full base, please reply me...
Ejemplo 2:
De: [dirección falsa]
Asunto: Hi,
Datos adjuntos: gen1.03.exe
Texto del mensaje:
My friend gave me this account generator for
http:/ /www .pantyola .com I wanna share it with you:)
And please do not distribute it. It's private.
La dirección que figura como remitente es falsa, creada al azar, o tomada de cualquiera de las direcciones recolectadas para enviarse.
Cuando se ejecuta, se copia en la carpeta System32 de Windows con los siguientes nombres:
c:\windows\system32\UPU.EXE
c:\windows\system32\SUPU.EXE
También libera los siguientes archivos, identificados como troyanos (Dumarin G y H):
c:\windows\system32\PRNTSVR.DLL
c:\windows\system32\SETUPEX.EXE
c:\windows\system32\SVOHOST.EXE
c:\windows\system32\SWCHOST.EXE
Crea otra copia de si mismo, en un archivo llamado "A", sin extensión, en la misma carpeta:
c:\windows\system32\A
NOTA 1: En todos los casos, "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado ("c:\winnt\system32", "c:\windows\system32").
NOTA 2: No confunda los nombres de alguno de los archivos liberados por el gusano, con SVCHOST.EXE (Generic Host Process for Win32 Services), un archivo legítimo de Windows XP, utilizado para la ejecución de servicios.
Crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NvClipRsv = [ejecutable del gusano]
Para propagarse a través del correo electrónico, busca direcciones en archivos de las máquinas infectadas, localizados en los discos duros C: a Y: inclusive, con las siguientes extensiones:
.htm
.html
.php
.tbb
.txt
El gusano evita enviarse a direcciones que contengan alguna de las siguientes cadenas en su nombre:
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
berkeley
borlan
bsd
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
mysqlruslis
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
samples
secur
secur
sendmail
service
site
soft
somebody
someone
sopho
spa
spam
submit
subscribe
support
syma
tanford.e
the.bat
unix
unix
usenet
utgers.ed
webmaster
www
you
your
Los mensajes poseen las características ya vistas al comienzo.
El gusano también intenta acceder a las recursos compartidos en red, para copiarse en ellos, y luego ejecutarse como un servicio en cada equipo accedido.
También utiliza el puerto TCP/1250 y otros al azar, para conectarse a otros equipos y descargar y ejecutar una copia de si mismo con el siguiente nombre:
\TEMP\_up.exe
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.
Su componente troyano con capacidad de acceso trasero (backdoor), actúa como un IRC bot (un programa que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos). Este bot recibe y procesa instrucciones de un usuario remoto, conectándose a un canal específico de un determinado servidor de IRC.
En este caso, el usuario remoto podrá descargar y también ejecutar cualquier archivo desde un servidor FTP o HTTP, a una carpeta específica de la máquina infectada, pudiendo actualizar archivos con el mismo nombre con versiones más nuevas.
El gusano explota la vulnerabilidad RPC/DCOM igual que el gusano Lovsan (Blaster), lo que permite a un atacante obtener el control total del equipo infectado, y ejecutar en él cualquier código que desee (ver las recomendaciones a tomar luego de una infección, al final de esta descripción).
La vulnerabilidad es activada enviando paquetes construidos maliciosamente para provocar un desbordamiento de búfer en un componente del servicio DCOM. Para ello utiliza el puerto RPC TCP/135.
El gusano también modifica el archivo HOSTS para impedir el acceso a determinados sitios. HOSTS es un archivo en formato texto, sin extensión, ubicado en \windows\ o windows\system32\drivers\etc\, dependiendo de la versión de Windows. Dicho archivo es usado por el sistema operativo para asociar nombres de dominio con direcciones IP. Si este archivo existe, el sistema lo examina antes de hacer una consulta a un servidor DNS.
La lista de sitios que son bloqueados, corresponden a las actualizaciones para el antivirus KAV (Kaspersky Antivirus):
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads4.kaspersky-labs.com
downloads-eu1.kaspersky-labs.com
downloads-us1.kaspersky-labs.com
Para propagarse por redes P2P, el gusano se copia también en las carpetas compartidas por defecto de estas aplicaciones (si alguna de estas aplicaciones estuviera instalada en la máquina infectada), utilizando los siguientes nombres:
AVP5.xcrack.exe
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe[/quote]
[quote]
PLEXUS,C según vsantivirus:
__________________________________________
W32/Plexus.C. Usa e-mail, P2P, y recursos compartidos
VSantivirus No. 1432 Año 8, lunes 7 de junio de 2004
W32/Plexus.C. Usa e-mail, P2P, y recursos compartidoshttp://www.vsantivirus.com/plexus-c.htm
Nombre: W32/Plexus.C
Tipo: Gusano de Internet y caballo de Troya de acceso remoto
Alias: Plexus.C, Expletus, Win32/Plexus.C, WORM_PLEXUS.C, W32/Plexus.c@MM, I-Worm.Plexus.b, W32.Explet.B@mm, Win32/Plexus.B@mm, W32/Plexus.C@mm, W32/Expletus.C@mm, I.worm.plexus.C@mm
Fecha: 5/jun/04
Plataforma: Windows 32-bit
Tamaño: 69,632 bytes
Variante del Plexus, gusano que se propaga a través del correo electrónico, redes P2P, y de recursos compartidos en redes.
El gusano posee capacidad de acceso por puerta trasera, pudiendo un atacante ejecutar comandos en forma remota en la computadora infectada.
Modifica el archivo HOSTS, impidiendo el acceso al sitio de un determinado fabricante de antivirus.
Se puede propagar por redes de intercambio de archivos entre usuarios (P2P).
Los mensajes infectados pueden tener las siguientes características:
Ejemplo 1:
Asunto: For you
Datos adjuntos: AtlantI.exe
Texto del mensaje:
Hi, my darling:)
Look at my new screensaver. I hope you will enjoy...
Your Liza
Ejemplo 2:
Asunto: Good offer.
Datos adjuntos: demo.exe
Texto del mensaje:
Greets! I offer you full base of accounts with passwords
of mail server yahoo.com. Here is archive with small part
of it. You can see that all information is real. If you
want to buy full base, please reply me...
Ejemplo 3:
Asunto: Hi, Nick.
Datos adjuntos: release.exe
Texto del mensaje:
In this archive you can find all those things, you asked
me. See you. Steve
Ejemplo 4:
Asunto: Hi, Mike
Datos adjuntos: AGen1.03.exe
Texto del mensaje:
My friend gave me this account generator for
http:/ /www .pantyola .com I wanna share it with you:)
And please do not distribute it. It's private.
Ejemplo 5:
Asunto: RE: order
Datos adjuntos: SecUNCE.exe
Texto del mensaje:
Here is the archive with those information, you asked me.
And don't forget, it is strongly confidencial!!!
Seya, man.
P.S. Don't forget my fee;)
La dirección que figura como remitente es falsa, tomada de cualquiera de las direcciones recolectadas para enviarse, o construida de la siguiente forma:
De: [1]+[2]
Donde [1] puede ser el nombre real tomado de una dirección recolectada, o uno de los siguientes:
alice
andrew
brenda
brent
brian
claudia
david
debby
george
helen
james
kevin
maria
Michael
peter
robert
sandra
smith
steve
Y [2] puede ser un dominio real tomado de una dirección recolectada, o uno de los siguientes:
aol.com
hotmail.com
msn.com
yahoo.com
Cuando se ejecuta, se copia en la carpeta System32 de Windows con los siguientes nombres:
c:\windows\system32\UPU.EXE
c:\windows\system32\SUPU.EXE
También libera los siguientes archivos, identificados como troyanos (Back/Webber):
c:\windows\system32\[nombre al azar]
c:\windows\system32\SETUPEX.EXE
Crea otra copia de si mismo, en un archivo llamado "A", sin extensión, en la misma carpeta:
c:\windows\system32\A
NOTA: En todos los casos, "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado ("c:\winnt\system32", "c:\windows\system32").
Crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
InternetServ = [ejecutable del gusano]
Para propagarse a través del correo electrónico, busca direcciones en archivos de las máquinas infectadas, localizados en los discos duros C: a Y: inclusive, con las siguientes extensiones:
.htm
.html
.php
.tbb
.txt
El gusano evita enviarse a direcciones que contengan alguna de las siguientes cadenas en su nombre:
accoun
acketst
admin
anyone
arin.
be_loyal:
berkeley
borlan
certific
contact
example
feste
gold-certs
hotmail
ibm.com
icrosof
icrosoft
inpris
isc.o
isi.e
kernel
linux
listserv
mit.e
mozilla
mydomai
mysqlruslis
nobody
nodomai
noone
nothing
ntivi
panda
postmaster
privacy
rating
rfc-ed
ripe.
samples
secur
sendmail
service
somebody
someone
sopho
submit
subscribe
support
tanford.e
the.bat
usenet
utgers.ed
webmaster
Los mensajes generados y enviados, poseen las características ya vistas al comienzo.
El gusano también intenta acceder a las recursos compartidos en red, para copiarse en ellos, y luego ejecutarse como un servicio en cada equipo accedido. Para esto utiliza los siguientes nombres de archivos:
AVP5.xcrack.exe
DlDir0.exe
hx00def.exe
ICQ04noimageCrk.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNT.exe
YahooDBMails.exe
También utiliza el puerto TCP/1250 y otros al azar, para recibir instrucciones de un usuario remoto, utilizando un componente troyano con capacidad de acceso trasero (backdoor). El mismo es un IRC bot (un programa que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos).
Este bot recibe y procesa instrucciones de un usuario remoto, conectándose a un canal específico de un determinado servidor de IRC. En este caso, el usuario remoto podrá descargar y también ejecutar cualquier archivo desde un servidor FTP o HTTP, a una carpeta específica de la máquina infectada, pudiendo actualizar archivos con el mismo nombre con versiones más nuevas.
El gusano también modifica el archivo HOSTS para impedir el acceso a determinados sitios. HOSTS es un archivo en formato texto, sin extensión, ubicado en \windows\ o windows\system32\drivers\etc\, dependiendo de la versión de Windows. Dicho archivo es usado por el sistema operativo para asociar nombres de dominio con direcciones IP. Si este archivo existe, el sistema lo examina antes de hacer una consulta a un servidor DNS.
La lista de sitios que son bloqueados, corresponden a las actualizaciones para el antivirus KAV (Kaspersky Antivirus):
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads4.kaspersky-labs.com
downloads-eu1.kaspersky-labs.com
downloads-us1.kaspersky-labs.com
Para propagarse por redes P2P, el gusano se copia también en la carpeta compartida por defecto de la utilidad KaZaa (si esta aplicación está instalada en la máquina infectada), utilizando los siguientes nombres:
AVP5.xcrack.exe
DlDir0.exe
hx00def.exe
ICQ04noimageCrk.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNT.exe
YahooDBMails.exe
El gusano escanea las siguientes direcciones IP:
141.166.104.1 a 141.166.104.255
Su código contiene el siguiente texto, que no es mostrado en ningún momento durante su ejecución:
-== KAV I'm Expletus !!!. Made in China. ==-[/quote]
saludos
ms, 7-06-2004
msc hotline sat Virus Research Engineer