I-Worm/Plexus.c

病毒长度：16,208 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me

I-Worm/Plexus.c是用自带的SMTP引擎群发蠕虫邮件的网络蠕虫病毒，通过网络共享和Kazaa文件共享软件进行传播，利用LSASS漏洞和DCOM RPC漏洞通过TCP端口135和445进行传播。

传播过程及特征：

1.复制自身：

%Windir%\\system32\\upu.exe

2.修改注册表：

添加键值

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

"NvClipRsv"="<蠕虫路径>"

3.在注册表HKEY_CURRENT_USER\\Software\\Kazaa\\Transfer下搜索键值"DlDir0"，用以发现Kazaa共享文件夹。

一旦发现后便复制自身到此目录，文件名为下列之一：

AVP5.xcrack.exe

hx00def.exe

ICQBomber.exe

InternetOptimizer1.05b.exe

Shrek_2.exe

UnNukeit9xNTICQ04noimageCrk.exe

YahooDBMails.exe

此外还复制自身到网络共享目录下，文件名为：

hx00def.exe

ICQBomber.exe

InternetOptimizer1.05b.exe

Shrek_2.exe

UnNukeit9xNTICQ04noimageCrk.exe

YahooDBMails.exe

4.修改hosts(%Windir%\\system32\\drivers\\etc\\hosts )文件，添加下列内容：

127.0.0.1 downloads-us1.kaspersky-labs.com

127.0.0.1 downloads1.kaspersky-labs.com

127.0.0.1 downloads4.kaspersky-labs.com

127.0.0.1 downloads2.kaspersky-labs.com

127.0.0.1 downloads-eu1.kaspersky-labs.com

5.监听TCP端口1250，一旦建立连接便从远程计算机接收文件并保存为%Temp%\\_up.exe，然后开始运行接收的文件。

任意监听一个端口，建立连接后可能发送蠕虫到远程计算机。

6.遍历从C到Y的所有固定驱动器，并从.htm, .html, .php, .tbb, .txt等类型的文件中搜索有效的邮件地址，

对于带有一些特殊字符串的地址予以放弃，一般和国内外大型信息及安全提供商有关联。

并利用自带的SMTP引擎发送自身到上述地址，邮件特征：

主题：下列之一

RE: order

For you

Hi, Mike

Good offer.

RE:

附件：下列之一

SecUNCE.exe

AtlantI.exe

AGen1.03.exe

demo.exe

release.exe

并避免发送邮件到国内外各大安全信息厂商。

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。