|
Plexus, un gusano que ataca a tres puntas
|
|
VSantivirus No. 1432 Año 8, lunes 7 de junio de 2004
Plexus, un gusano que ataca a tres puntas
http://www.vsantivirus.com/07-06-04.htm
Por Angela Ruiz
angela@videosoft.net.uy
El código del gusano MyDoom, ha sido la base para que desconocidos escritores de virus, crearan un nuevo gusano, potencialmente peligroso, y que utiliza métodos múltiples para propagarse.
Plexus.A (y sus variantes más recientes, B, C y D), se propaga utilizando tres métodos diferentes: archivos adjuntos a mensajes de correo electrónico infectados, archivos compartidos en red, y dos conocidas vulnerabilidades de Windows XP y 2000, (el fallo en RPC/DCOM utilizado por Lovsan o Blaster, y la vulnerabilidad LSASS empleada por Sasser y sus variantes). Sin embargo, al menos una de ellas parece no utilizar las vulnerabilidades mencionadas.
Los hasta ahora desconocidos autores del virus, utilizaron el código fuente del gusano MyDoom para crear a partir de él el Plexus, según Kaspersky Labs.
David Emm, consultor de tecnología de los laboratorios Kaspersky, dijo que estos métodos de propagación múltiple, ayudan a infectar más máquinas. "Ningún gusano desde Nimda ha usado tantos métodos de propagación", dice Emm.
Kaspersky clasifica a Plexus como de riesgo moderado. "Se está propagando, pero no tan rápido como Sasser o Blaster, y la preocupación principal por el gusano proviene del hecho de que crea una puerta trasera para los piratas informáticos en los equipos infectados. Estas máquinas comprometidas, pueden ser usadas luego para el envío de spam o como plataformas para ataques distribuidos de negación de servicio (DDoS). De todos modos, la motivación de los autores del gusano aun no es muy clara", afirma Emm.
Plexus y sus variantes, emplean numerosos mensaje de correo para intentar engañar a los usuarios. Cada mensaje tiene una cabecera, cuerpo y nombre de archivo adjunto diferente. El tamaño del archivo cambia según la versión del gusano.
Una vez que Plexus se ejecuta, se copia a sí mismo en el registro del sistema, para volverse a ejecutar cada vez que la máquina es reiniciada. El gusano envía copias de si mismo a direcciones de correo electrónico recolectadas de varias tipos de archivos, localizados en los discos de las máquinas infectadas.
Además, el gusano ataca específicamente a los usuarios del software antivirus de Kaspersky, ya que impide la descarga de actualizaciones de su base de datos.
Plexus también revisa la red en busca de sistemas vulnerables. El gusano abre una puerta trasera en el puerto 1250 de los equipos infectados, haciendo posible la carga y control remoto de archivos. El puerto abierto, deja además a la víctima vulnerable a futuros ataques, advierte Kaspersky Labs.
Los usuarios deben actualizar sus Windows, y los archivos de sus antivirus, además de utilizar cortafuegos como medida de protección ante gusanos similares.
Fuente: Securityfocus.com<
Relacionados:
W32/Plexus.A. Usa e-mail, KaZaa, RPC/DCOM y LSASS
http://www.vsantivirus.com/plexus-a.htm
W32/Plexus.B. Usa e-mail, P2P, RPC/DCOM y LSASS
http://www.vsantivirus.com/plexus-b.htm
W32/Plexus.C. Usa e-mail, P2P, y recursos compartidos
http://www.vsantivirus.com/plexus-c.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|