LatinoSeguridad

Menú

Importante

Alerta de virus

Worm.W32/Plexus.B@P2P+MM

Alias:
W32/Plexus.B.worm (Panda Software)

Descripción:
Plexus.B es un gusano que se propaga a través de diversos métodos:

Explotando las vulnerabilidades RPC DCOM y LSASS en ordenadores remotos. La vulnerabilidad RPC DCOM es crítica en los sistemas operativos Windows 2003/XP/2000/NT que no han sido convenientemente actualizados mientras que, por su parte, LSASS es crítica para ordenadores con Windows XP/2000.
Mediante el correo electrónico, en mensajes escritos en inglés que incluyen un archivo adjunto.
A través del programa de intercambio de ficheros (P2P) KaZaA.
A través de redes de ordenadores.

Plexus.B abre el puerto TCP 1250 y otro aleatorio, y permanece a la escucha de ambos. Si se establece una conexión a través de los mismos, permite la descarga y posterior ejecución de archivos a través de los mismos.

Detalles:
Efectos

Provoca el reinicio del ordenador cuando intenta afectarlo empleando la vulnerabilidad RPC DCOM (Windows 2003/XP/2000/NT) o LSASS (Windows XP/2000).

Por ejemplo, si Plexus.B consigue aprovechar con éxito la vulnerabilidad LSASS, aparece el siguiente mensaje en pantalla:

Imagen de Panda Software

En caso de utilizar la vulnerabilidad RPC DCOM, aparecería un mensaje similar.

Metodo de Infección

Plexus.B crea el archivo SUPU.EXEModifica el archivo HOSTS, sobrescribiendo su contenido. De este modo, consigue que el usuario no pueda acceder al sitio web de una determinada compañía antivirus.

Crea la siguiente entrada en el Registro de Windows:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
NvClipRsv = %sysdir%\ SUPU.EXE

donde %sysdir% es el directorio de sistema de Windows. Mediante esta entrada, Plexus.B consigue ejecutarse cada vez que se inicia Windows.

Método de Propagación

Plexus.B se propaga a través de Internet, del correo electrónico, del programa de intercambio de ficheros P2P (entre pares) KaZaA y de redes de ordenadores.

1.- Propagación explotando vulnerabilidades.
Ataca ordenadores remotos con sistema operativo Windows 2003/XP/2000/NT. Para ello, realiza el siguiente proceso:

Genera direcciones IP aleatorias e intenta acceder a las mismas.

Si lo consigue, comprueba si el ordenador remoto presenta alguna de las siguientes vulnerabilidades:

RPC DCOM: en ordenadores con Windows 2003/XP/2000/NT.
LSASS: en ordenadores con Windows XP/2000.

En caso afirmativo, envía instrucciones a través del puerto 135 (RPC DCOM) o 445 (LSASS), para que el ordenador descargue una copia del gusano mediante un servidor HTTP.

Su copia descargada es ejecutada, con lo que el ordenador quedará afectado.

Cuando aprovecha la vulnerabilidad LSASS, Plexus.B sólo afecta y se propaga de manera automática a ordenadores con Windows XP/2000 y que tengan el puerto 5000 abierto (por defecto, abierto en Windows XP y cerrado en Windows 2000). Sin embargo, también funciona en el resto de sistemas operativos Windows, si el archivo correspondiente al gusano es ejecutado de alguna forma por un usuario malicioso. En este último caso, Plexus.B convertiría dicho ordenador en un nuevo foco de propagación.

Sin embargo, cuando la vulnerabilidad empleada es RPC DCOM, Plexus.B afecta a ordenadores con Windows 2003/XP/2000/NT.

En ambos casos, Plexus.B provoca el reinicio del ordenador de forma automática.

2.- Propagación a través del correo electrónico.
Llega al ordenador en un mensaje de correo electrónico escrito en inglés, de características variables:

Remitente:
Plexus.B falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí. Para ello, intercala cadenas de texto propias dentro de las direcciones de correo que recoge.

Posibles mensajes:

Mensaje 1:
Asunto:
RE: order
Contenido:
Hi.
Here is the archive with those information, you asked me.
And don't forget, it is strongly confidencial!!!
Seya, man.

P.S. Don't forget my fee ;)
Archivo adjunto:
SECUNCE.EXE
Mensaje 2:
Asunto:
For you
Contenido:
Hi, my darling :)
Look at my new screensaver. I hope you will enjoy...
Your Liza
Archivo adjunto:
ATLANTI.EXE
Mensaje 3:
Asunto:
Hi, Mike
Contenido:
My friend gave me this account generator for http: //www.pantyola.com I wanna share it with
you :)
And please do not distribute it. It's private.
Archivo adjunto:
AGEN1.03.EXE
Mensaje 4:
Asunto:
Good offer.
Contenido:
Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is
archive with small part of it. You can see that all information is real. If you want to buy full
base, please reply me...
Archivo adjunto:
DEMO.EXE
Mensaje 5:
Asunto:
RE:
Contenido:
Hi, Nick. In this archive you can find all those things, you asked me.
See you. Steve
Archivo adjunto:
RELEASE.EXE

El ordenador es afectado cuando el usuario ejecuta el archivo adjunto. Plexus.B busca direcciones de correo electrónico a las que enviarse en todos los archivos que tengan extensión HTM, HTML, PHP, TBB y TXT y se encuentren en el ordenador afectado y sus unidades mapeadas (desde la C: hasta la Y:).

Plexus.B envía una copia de sí mismo a todas las direcciones que ha recogido, empleando su propio motor SMTP, pero exceptuando aquellas que contengan alguna de las siguientes cadenas: .gov, .mil, abuse, accoun, acketst, admin, anyone, arin., berkeley, borlan, bsd, bsd, bugs, ca, certific, contact, example, feste, fido, foo., fsf., gnu, gold-certs, google, gov., help, hotmail, iana, ibm.com, icrosof, icrosoft, ietf, info, inpris, isc.o, isi.e, kernel, linux, listserv, math, me, mit.e, mozilla, msn., mydomai, mysqlruslis, no, nobody, nodomai, noone, not, nothing, ntivi, page, panda, pgp, postmaster, privacy, rating, rfc-ed, ripe., root, samples, secur, secur, sendmail, service, site, soft, somebody, someone, sopho, spa, spam, submit, subscribe, support, syma, tanford.e, the.bat, unix, usenet, utgers.ed, webmaster, www, you y your.

3.- Propagación a través de KaZaA.
Plexus.B obtiene el directorio compartido de KaZaA consultando una entrada del Registro de Windows. Realiza copias de sí mismo en dicho directorio, empleando los siguientes nombres:

AVP5.xcrack.exe
ICQBomber.exe
hx00def.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe

Otros usuarios de KaZaA podrán acceder de forma remota a este directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros creados por Plexus.B, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano. Al ejecutar el fichero descargado, esos otros ordenadores quedarán afectados por Plexus.B.

4.- Propagación a través de carpetas compartidas.
Plexus.B realiza copias de sí mismo en todas las unidades compartidas a las que consigue acceso. Para ello, emplea los siguientes nombres de archivo:

hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe

Otros Detalles

Plexus.B está escrito en lenguaje de programación Visual C++ v5. Este gusano tiene un tamaño de 16208 Bytes cuando está comprimido mediante FSG, y 79152 Bytes una vez descomprimido.

Crea el mutex Expletus para asegurarse de que no se ejecuta más de una copia del gusano al mismo tiempo. Contiene el siguiente mensaje en su código, aunque no es mostrado en ningún momento:

-== I'm Expletus. Made in China. ==-

Además, algunas de las cadenas de texto usadas por el gusano se encuentran cifradas para que resulten más difíciles de identificar.

Solución:

Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.

Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).

Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine el siguiente valor:
NvClipRsv = %sysdir%\ SUPU.EXE
de la siguiente clave del registro:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

Panda Software

Fuente: red.es