Plexus: El gusano que ataca a dos bandas

> CARACTERISTICAS PLEXUS A, B
Utiliza su propio motor SMTP para enviase por utilizando el correo electrónico a todos los contactos de la libreta de direcciones, el mensaje tiene las siguientes características:

DE: (El gusano selecciona el nombre de una lista predefinida)

Asunto: (Uno de los siguientes):

RE: order
For you
Hi, Mike
Good offer.
RE:

Texto del mensaje: (Uno de los siguientes):

– Hi.
Here is the archive with those information, you asked me.
And don”t forget, it is strongly confidencial!!!
Seya, man.

– Hi, my darling 🙂
Look at my new screensaver. I hope you will enjoy…
Your Liza
P.S. Don”t forget my fee 😉

– Hi, Mike

– My friend gave me this account generator for
http: //www.pantyola.com I wanna share it with you 🙂
And please do not distribute it. It”s private.

– Greets! I offer you full base of accounts with
passwords of mail server yahoo.com. Here is archive
with small part of it. You can see that all information
is real. If you want to buy full base, please reply me…

– Hi, Nick. In this archive you can find all those
things, you asked me.
See you. Steve

Datos adjuntos: (Alguno de los siguientes):

AtlantI.exe
AGen1.03.exe
demo.exe
release.exe
SecUNCE.exe

Utiliza las siguientes vulnerabilidades:

Vulnerabilidad RPC/DCOM
(MS03-026)
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx

Vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem)
(MS04-011)
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

Crea el archivo “UPU.EXE” dentro de la carpeta C:WINDOWSSYSTEM. También crea el archivo “A” dentro de la carpeta C:WINDOWS, este ultimo archivo contiene un comando que le permite modificar el archivo HOST en otras maquinas conectadas a la red.

De acuerdo a la versión de sistema operativo, las carpetas “c:windows” y “c:windowssystem32” pueden variar (“c:winnt”, “c:winntsystem32”, “c:windowssystem”).

El gusano agrega las siguientes líneas al archivo HOST evitando que el usuario se conecte a los siguientes sitios web:

127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com

Se disfraza como un servidor controlado por un Bot IRC. Para realizar esta acción se conecta a un servidor IRC específico y se une a un canal IRC.
Una vez conectado el bot es capaz de mandar órdenes al programa servidor. Estas órdenes se utilizan para controlar el sistema y la conducta del bot.
Los comandos usados por el bot le permiten realizar las siguientes acciones:

Descargar un archivo de un sitio FTP.
Descargar un archivo de un sitio FTP a una carpeta y actualizarlo.
Descargar un archivo de un sitio HTTP.
Descargar un archivo de un sitio HTTP a una carpeta y actualizarlo.
Descargar y ejecutar un archivo de un sitio HTTP a una carpeta.
Descargar y ejecutar un archivo de un sitio FTP a una carpeta.

Se copia dentro de la carpeta compartida de la aplicación KaZaa con uno de los siguientes nombres:

AVP5.xcrack.exe
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe

Crea una copia de si mismo dentro de las carpetas compartidas utilizando los siguientes nombres:

hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe

Crea una conexión usando el puerto TCP 1250 para descargar y ejecutar el archivo “_UP.EXE” desde una computadora remota y lo graba dentro de la carpeta C:WINDOWSTEMP

Roba direcciones de correo electrónico dentro de todas la unidades de disco duro buscando dentro de archivos con las siguientes extensiones:

.htm
.html
.php
.tbb
.txt
El gusano evita direcciones de correo evitando direcciones que contengan las siguientes cadenas:

.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
berkeley
borlan
bsd
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
mysqlruslis
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
samples
secur
secur
sendmail
service
site
soft
somebody
someone
sopho
spa
spam
submit
subscribe
support
syma
tanford.e
the.bat
unix
unix
usenet
utgers.ed
webmaster
www
you
your

Crea las siguientes entradas dentro del registro de Windows:

HKLMSOFTWAREMicrosoftWindows
CurrentVersionRun
NvClipRsv

Obtiene la carpeta compartida de la aplicación KaZaa de la siguiente clave el registro:

HKEY_CURRENT_USERSoftware
KazaaTransfer
DlDir0

> CARACTERISTICAS PLEXUS C
Utiliza su propio motor SMTP para enviase por utilizando el correo electrónico a todos los contactos de la libreta de direcciones, el mensaje tiene las siguientes características:

Mensaje 1:

Asunto: For you
Datos adjuntos: AtlantI.exe

Texto del mensaje:
Hi, my darling 🙂
Look at my new screensaver. I hope you will enjoy…
Your Liza

Mensaje 2:

Asunto: Good offer.
Datos adjuntos: demo.exe

Texto del mensaje:
Greets! I offer you full base of accounts with passwords
of mail server yahoo.com. Here is archive with small part
of it. You can see that all information is real. If you
want to buy full base, please reply me…

Mensaje 3:

Asunto: Hi, Nick.
Datos adjuntos: release.exe

Texto del mensaje:
In this archive you can find all those things, you asked
me. See you. Steve

Mensaje 4:

Asunto: Hi, Mike
Datos adjuntos: AGen1.03.exe

Texto del mensaje:
My friend gave me this account generator for
http:/ /www .pantyola .com I wanna share it with you 🙂
And please do not distribute it. It”s private.

Mensaje 5:

Asunto: RE: order
Datos adjuntos: SecUNCE.exe

Texto del mensaje:
Here is the archive with those information, you asked me.
And don”t forget, it is strongly confidencial!!!
Seya, man.
P.S. Don”t forget my fee 😉

La dirección que figura como remitente es falsa, tomada de cualquiera de las direcciones recolectadas para enviarse, o construida con los componentes [1] + [2], donde [1] puede ser el nombre real tomado de una dirección recolectada, o uno de los siguientes:

alice
andrew
brenda
brent
brian
claudia
david
debby
george
helen
james
kevin
maria
Michael
peter
robert
sandra
smith
steve

Y [2] puede ser un dominio real tomado de una dirección recolectada, o uno de los siguientes:

aol.com
hotmail.com
msn.com
yahoo.com

Cuando se ejecuta, crea los siguientes archivos dentro de la carpeta SYSTEM:

c:windowssystem32[nombre al azar]
c:windowssystem32UPU.EXE
c:windowssystem32SUPU.EXE
c:windowssystem32SETUPEX.EXE

También crea el archivo “A” dentro de la misma carpeta, el cuál contiene un comando que le permite modificar el archivo HOST en otras maquinas conectadas a la red.

De acuerdo a la versión de sistema operativo, las carpetas “c:windows” y “c:windowssystem32” pueden variar (“c:winnt”, “c:winntsystem32”, “c:windowssystem”).

El gusano agrega las siguientes líneas al archivo HOST evitando que el usuario se conecte a los siguientes sitios web:

127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com

Se disfraza como un servidor controlado por un Bot IRC. Para realizar esta acción se conecta a un servidor IRC específico y se une a un canal IRC.

Una vez conectado el bot es capaz de mandar órdenes al programa servidor. Estas órdenes se utilizan para controlar el sistema y la conducta del bot.

Los comandos usados por el bot le permiten realizar las siguientes acciones:

Descargar un archivo de un sitio FTP.
Descargar un archivo de un sitio FTP a una carpeta y actualizarlo.
Descargar un archivo de un sitio HTTP.
Descargar un archivo de un sitio HTTP a una carpeta y actualizarlo.
Descargar y ejecutar un archivo de un sitio HTTP a una carpeta.
Descargar y ejecutar un archivo de un sitio FTP a una carpeta.

Se copia dentro de la carpeta compartida de la aplicación KaZaa con uno de los siguientes nombres:

AVP5.xcrack.exe
DlDir0.exe
hx00def.exe
ICQ04noimageCrk.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNT.exe
YahooDBMails.exe

Crea una conexión usando el puerto TCP 1250 para descargar y ejecutar el archivo “_UP.EXE” desde una computadora remota y lo graba dentro de la carpeta C:WINDOWSTEMP

Roba direcciones de correo electrónico dentro de todas la unidades de disco duro buscando dentro de archivos con las siguientes extensiones:

.htm
.html
.php
.tbb
.txt

El gusano evita direcciones de correo evitando direcciones que contengan las siguientes cadenas:

accoun
acketst
admin
anyone
arin.
be_loyal:
berkeley
borlan
certific
contact
example
feste
gold-certs
google
hotmail
ibm.com
icrosof
icrosoft
inpris
isc.o
isi.e
kernel
linux
listserv
mit.e
mozilla
mydomai
mysqlruslis
nobody
nodomai
noone
nothing
ntivi
panda
postmaster
privacy
rating
rfc-ed
ripe.
samples
secur
sendmail
service
somebody
someone
sopho
submit
subscribe
support
tanford.e
the.bat
usenet
utgers.ed
webmaster

Crea la siguiente entrada dentro del registro de Windows:

HKLMSOFTWAREMicrosoftWindows
CurrentVersionRun
InternetServ

El gusano escanea las siguientes direcciones IP:

141.166.104.1 a 141.166.104.255

> INSTRUCCIONES PARA ELIMINAR PLEXUS A,B,C
1. Desactive la restauración automática en Windows XP/ME.

2. Ejecute un antivirus actualizado y tome nota de los archivos infectados.

3. Luego, detenga el proceso del virus en memoria:

En Windows 9x y Me, pulse CTRL+ALT+SUPR.
En Windows NT/2000/XP pulse CTRL+SHIFT+ESC.

En ambos casos, en la lista de tareas (en Windows NT/2000 o XP, deberá seleccionar la lengüeta Procesos), señale la(s) que coincidan con los nombres de los ejecutables infectados detectados en el punto 2, y seleccione el botón de finalizar tarea.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna “Nombre”, la entrada “NvClipRsv”, en la siguiente clave del registro:

HKLMSOFTWAREMicrosoftWindows
CurrentVersionRun

6. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

c:windows
c:windowssystem32driversetc
c:winntsystem32driversetc

7. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione “Seleccionar el programa de una lista”, “Aceptar”, y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE “Utilizar siempre el programa seleccionado para abrir este tipo de archivos”.

8. Borre todas las líneas que comiencen con un número, salvo las siguientes:

127.0.0.1 localhost

9. Acepte guardar los cambios al salir del bloc de notas.

10. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

Deja un comentario