Mydoomの再来-新手のウイルスがMydoomコードを用い複合脅威出現の恐れ
カスペルスキーラボは危険性の高い新手のインターネットワームを検知した。Plexus.aは3通りの方法で蔓延する:感染した電子メール添付物、ファイル共有ネットワーク、及びMS WindowsのLSASSとRPCDCOMの脆弱性を衝いて攻撃をしかける。同コードの詳細な解析により、ウイルス作者はMydoomのソースコードを基盤としている事が確認された。ワームのペイロードはカスペルスキーアンチウイルスデータベースの更新を阻む動もする。
Plexus.a は標準セットの感染ベクトルを使用する。ワームはポピュラーなアプリケーション伝送手段を偽装してLANやファイル共有ネットワーク経由で侵入する。良く知られたWindowsの脆弱性を衝いて、かなりの数の感染が発生している。即ちLSASSのSasserによる侵害、RPCDCOMホールはLovsanによって被害を受けた。Lovsanは2003年8月に突如攻撃を仕掛けて来た。しかしPlexus.a は脆弱部分を衝いて、その応急修復が終わらない内に多数のマシンを感染させた。
Plexus.a はユーザーを惑わす5個のメッセージを選ぶ。各メッセージは異るヘッダー、ボディ、添付ファイルを持つ。普遍の特徴はサイズのみである。FSGで圧縮された場合16208バイトであり、解凍された場合は57856バイトである。
Plexus.a の実行はそれ自体をupu.exe. の名前でWindowsのシステムレジストリーにコピーする。マシンがリブートされる度にワームの活動を確実にするためにPlexus.aはupu.exe. をレジストリー内のAutoRunキーとして登録する。ワームは感染マシン内で活動する唯一のワームコピーとしてのアイデンティファイア「エクスプレタス」をシステム内に創り出す。最後に Plexus.a aはローカルディスクから集めた全てのメールアドレスに対して自身のコピーを送信する。
Plexus.a は二個の爆弾を持つ。第一は、ワームはカスペルスキーアンチウィルスがインストールされた全てのシステムに対してアンチウィルスデータベースの自動更新を阻む動きをする。 Plexus.a はシステムレジストリー内のフォルダーコンテンツを書き換える。このフォルダーが感染マシンから削除されるまでユーザーは更新ファイルを手動でダウンロードしなければならない。
また、ワームの第2の爆弾はシステムに対して世界的な脅威となる。ワームはポート1250を開き、感染したマシンから遠隔操作でファイルのアップロードを可能にする。オープンポートは感染マシンの脆弱部分として攻撃を受け易くなる。
カスペルスキーラボはデータベースに緊急アップデートを発表した。もし感染の恐れがあれば、アップデートをインターネットからダウンロードできる。Plexus.a に関する詳細情報はカスペルスキーウィルスエンサイクロペディアで検証できる。MS Windowsの脆弱部分に対するパッチはマイクロソフトから入手可能である。
- MS Security Bulletin MS04-011 for the LSASS vulnerability
- MS Security Bulletin MS03-026 for the RPC DCOM vulnerability