Maskierter Wurm zerstört Anti-Viren-Schutz

Thomas Hübner
20 Kommentare

Der russische Anti-Viren-Spezialist Kaspersky Lab warnt vor dem neuen Internet-Wurm „Plexus.a“. Plexus versucht den Anti-Viren-Schutzschild des PCs zu zerstören, indem er das automatische Herunterladen von Anti-Virus-Updates verhindert.

Zu seiner Verbreitung maskiert sich der Wurm als Distributiv gängiger Anwenderprogramme und kann PCs über lokale Netzwerke, als E-Mail-Anhang oder via Dateitauschbörsen infizieren. Der Großteil der Infektionen erfolgt jedoch über die Sicherheitslücke der Microsoft Windows-Dienste LSASS und RPC/DCOM.

Nach seinem Start kopiert sich der Wurm in den Systemordner von Windows und registriert sich als „automatisch auszuführen“. Dadurch wird er bei jedem Hochfahren des PCs aktiviert. Nach dem Start scannt er das gesamte Dateisystem des Computers und versendet sich selbst an alle gefundenen E-Mail-Adressen. Eine weitere Gefahr stellt der „trojanische Teil“ von Plexus dar. Der Virus öffnet Port 1250 für einen Port-Scan und initiiert den Download und die Aktivierung bestimmter Dateien. Dadurch wird eine Remote-Steuerung des Rechners durch den Virenautor ermöglicht.

Der Malicious Code taucht in fünf unterschiedlichen E-Mail-Varianten auf, wobei Betreffzeile, Briefkorpus und Dateiname jeweils unterschiedlich sein können. Unverändert ist jedoch die Größe. Als komprimierte FSG-Datei beträgt sie 16.208 Bytes, entpackt 57.856 Bytes. Laut Analyse von Kaspersky basiert der Schädling auf dem Quellcode des Mydoom-Virus.