Plexus.C

PLEXUS.C, gusano de Correo, P2P Kazaa, redes con recursos compartidos, libera Backdoor, etc.

W32/Plexus.C@mm, W32/Expletus.C@mm, I.worm.plexus.C@mm

Plexus.C es un gusano reportado el 07 de Junio del 2004, de propagación masiva a través de mensajes de correo con archivos anexados de nombres aleatorios, con extensión EXE.

También se difunde vía la red Peer to Peer Kazaa y en las estaciones de Red con recursos compartidos que tengan acceso a los sistemas infectados.

Modifica el archivo Windows HOSTS para impedir que el sistema infectado puede acceder a los sitios web relacionados al antivirus de Kaspersky, para poder actualizarse.

El gusano libera un Backdoor, el mismo que abre el puerto TCP 1250 y a través del cual el autor del virus puede tomar control en forma remota de los sistemas infectados.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 68 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables).

Posee su propio motor SMTP (Simple Mail Transfer Protocol) y para determinar el servidor a usar precede ciertas cadenas a los nombres de dominio obtenidos del sistema infectados:

mx.[nombre_de_dominio]
smtp.[nombre_de_dominio]
mail.[nombre_de_dominio]
mail1.[nombre_de_dominio]
ns.[nombre_de_dominio]
gate.[nombre_de_dominio]

En el caso de que el gusano no lograse enviar los mensajes a través estos servidores, lo hará conectándose al servidor SMTP local.

Remitente, extrae los buzones de correo de los archivos con las extensiones:

HTM
HTML
PHP
TBB
TXT

Sin embargo omite aquellas direcciones que tengan las siguientes cadenas:

accoun
acketst
admin
anyone
arin.
be_loyal:
berkeley
borlan
certific
contact
example
feste
gold-certs
google
hotmail
ibm.com
icrosof
icrosoft
inpris
isc.o
isi.e
kernel
linux
listserv
mit.e
mozilla
mydomai
mysqlruslis
nobody
nodomai
noone
nothing
ntivi
panda
postmaster
privacy
rating
rfc-ed
ripe.
samples
secur
sendmail
service
somebody
someone
sopho
submit
subscribe
support
tanford.e
the.bat
usenet
utgers.ed
webmaster

Usando la técnica Email spoofing, emplea los siguientes dominios:

hotmail.com
yahoo.com
msn.com
aol.com

En forma adicional, el gusano construye direcciones de correo aleatoriamente, antecediendo a los dominios uno de los siguientes nombres:

alice
andrew
brenda
brent
brian
claudia
david
debby
george
helen
james
kevin
maria
Michael
peter
robert
sandra
smith
steve

Los mensajes pueden tener uno de los siguientes formatos:

Asunto: RE: order
Contenido: Here is the archive with those information, you asked me.
And don't forget, it is strongly confidencial!!!
Seya, man.
P.S. Don't forget my fee ;)
Anexado: [nombre_aleatorio].EXE

Asunto: For you
Contenido: Hi, my darling :)
Look at my new screensaver. I hope you will enjoy...
Your Liza
Anexado: [nombre_aleatorio].EXE

Asunto: Hi, Mike
Contenido: My friend gave me this account generator for
http://www.pantyola.com I wanna share it with you :)
And please do not distribute it. It's private.
Anexado: [nombre_aleatorio].EXE

Asunto: Good offer.
Message Body: Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me...
Anexado: [nombre_aleatorio].EXE

Asunto: Hi, Nick.
Contenido: In this archive you can find all those things, you asked me. See you. Steve
Anexado: [nombre_aleatorio].EXE

Los archivos anexados pueden ser uno de los siguientes:

SecUNCE.exe
AtlantI.exe
AGen1.03.exe
demo.exe
release.exe

Al ejecutar el archivo, el gusano se auto-copia a la carpeta %System% con los nombres supu.exe y upu.exe y para activarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"InternetServ" = "%System%\[nombre_aleatorio].exe"

También libera y copia a la carpeta %System% un Backdoor de nombre setupex.exe, el mismo que puede ser cambiado en forma aleatoria por otro nombre, pero con la misma extensión.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para propagarse a través de la red KaZaa modifica el valor de la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Kazaa\Transfer]
"DisableSharing " = 0

Y a continuación se auto-copia a la carpeta C:\My Shared Folder con los siguientes nombres:

AVP5.xcrack
InternetOptimizer1.05b
Shrek_2
ICQ04noimageCrk
UnNukeit9xNT
YahooDBMails
hx00def
ICQBomber
DlDir0

El gusano se difunde además a las estaciones de las redes con recursos compartidos. usando los mimos nombres de los archivos infectados de la carpeta de KaZaa.

También modifica el archivo Windows HOSTS para deshabilitar el acceso de los sistemas infectados a los portales de Internet asociados al desarrollador de antivirus Kaspersky, que tengan estas cadenas:

downloads-us1.kaspersky-labs.com
downloads1.kaspersky-labs.com
downloads4.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads-eu1.kaspersky-labs.com

El gusano invoca el acceso a una larga lista de direcciones IP.

Actuando como Backdoor el archivo ejecutable liberado por el gusano, abre el puerto TCP 1250 (swldy-sias) y a través del mismo, el autor del virus puede tomar control en forma remota de los sistemas infectados.

Dentro de su código viral se lee el siguiente texto:

-== KAV I'm Expletus !!!. Made in China. ==-

Sus payloads son los siguientes:

Se propaga en mensajes de correo con archivos anexados de nombres aleatorios de extensión EXE.
Usa su propio motor SMTP para el auto-envío masivo de mensajes.
Extrae los buzones de correo de archivos de determinadas extensiones, omitiendo ciertas cadenas de texto.
Emplea la técnica Spoofing para disfrazar los dominios de las direcciones del remitente.
Infecta a través de la red Peer to Peer KaZaa.
También se propaga a las estaciones de Redes con recursos compartidos de los sistemas infectados.
Deshabilita el acceso a los sitios web relacionados al desarrollador de antivirus Kaspersky.
Como Backdoor abre el puerto TCP 1250 y a través del cual el autor del virus puede tomar control en forma remota de los sistemas infectados.

PER ANTIVIRUS® versión 8.7 con registro de virus al 07 de Junio del 2004 detecta y elimina este gusano.