Plexus.A: Neuer Wurm mit verfeinertem Mydoom-Quellcode

Ein neuer Wurm dreht seine Runde im Internet. Der auf Plexus.a getaufte Wurm nutzt einige bereits bekannte und von Microsoft längst geschlossene Sicherheitslücken, um auf einen Rechner zu gelangen. Laut den russischen Sicherheitsspezialisten von Kaspersky Lab sorgt der Wurm auf infizierten Rechnern dafür, dass eine installierte Antiviren-Software wirkungslos wird. Sie kann dann keine automatischen Updates mehr herunterladen.

Plexus.A verbreitet sich über lokale Netzwerke, als Mail-Anhang und auch über Online-Tauschbörsen. Wer generell keine Mail-Anhänge öffnet, ist dennoch nicht sicher, denn die meisten Infektionen erfolgen, indem der Wurm altbekannte Schwachstellen in den Windows-Diensten LSASS und RPC/DCOM ausnutzt, um auf einen Rechner zu gelangen. Die LSASS-Lücke nutzte beispielsweise der Sasser-Wurm für seine Attacken Anfang Mai aus. Rechner, bei denen nicht die seit langem bereitliegenden Microsoft-Patches installiert sind, können somit von dem Wurm befallen werden, sobald eine Verbindung zum Internet erstellt wird.

Der Wurm installiert sich nach der Infektion in den Systemordner von Windows und sorgt anschließend per Registry-Eintrag dafür, dass er bei jedem Systemstart mitgestartet wird. Alle Dateien auf dem Rechner werden nach Mail-Adressen durchforstet, an die sich der Wurm dann selbst verschickt. Außerdem öffnet er den Port 1250 für einen Port-Scan und wartet auf Kommandos des Virenautors.

Der Wurm verbreitet sich mit fünf unterschiedlichen Varianten einer infizierten Mail. Die Betreffzeile, der Mailtext und der Dateiname können sich unterscheiden. Die Größe des Wurms ist aber immer dieselbe. Der als FSG-Datei komprimierte Wurm ist 16.208 Byte und entpaclt 57.856 Byte groß.

Der Quellcode der Malware soll laut Kaspersky auf dem Quellcode des Mydoom-Wurms basieren.