説明

I-Worm.Plexus.a です。Plexus は三つの異なる方法で拡散するインターネット ワームです: 電子メールの添付ファイルとして、 ファイル共有ネットワークを経由して、ウイルス Sasser や Lovesan と同様に Microsoft Windows の LSASS または RPC DCOM の脆弱性を利用します。
さらに、Plexus は危険な症状を発生させる可能性があります。動作する際にこのワームは予定されたリストからランダムに選ばれた以下のような偽のエラーメッセージを表示します。
- CRC checksum failed.
- Pack method not implemented.
- Could not initialize installation.
File size expected=26523, size returned=26344.
- File is corrupted.

Plexus は自身を WindowsSystem32 ディレクトリにファイル名 upu.exeとしてコピーします。
以下の二つのファイルをインストールします:
- WindowsSystem32
ディレクトリにファイル名 setpupex.exe
- Windows ルート ディレクトリにファイル名
svchost.exe
- Plexus.a のメイン モジュールPlexus は自身を共有フォルダおよびアクセス可能なネットワーク リソースに異なった名前でコピーします。
Plexus は LSASS の脆弱性[MS04-011]　またはウイルス Lovesan と同様に DCOM RPC の脆弱性[MS03-026]を利用 します。
Plexus は以下のような拡張子を持つファイルをローカルディスクに検索します:
htm; html; php; tbb; txt またこれらのファイルの中に見つかった電子メールアドレス全てに自身のコピーを送信します。
Plexus はカスパルスキー社のアンチ ウイルス データベースのアップデートを阻止するため、WindowsSystem32driversetchosts のなかの \'hosts\' ファイルに以下のデータを書き込みます:
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.comPlexus
は感染マシンに追加のファイルをリモートからアップロードするためにポート1250を開き、ファイルを実行することを可能にします。

削除方法

RegRun Startup Optimizer を使用してスタートアップから削除してください。

[RegRun Startup Optimizerを使って]という記述は、Greatis Software社のRegRun製品の一部の機能です。削除のために特に本ツールを使う必要はありません。レジストリエディタ(Regedit)など、Windowsのスタートアップ エントリに登録されたプログラムを削除できるツールを使うことで除去が可能です。または、HijackThis, XRayPCなども同様の機能を提供しています。

MD5チェックサム

最終変更日

2005/11/04 (Fri)