"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении нового опасного интернет-червя Plexus.a. Вредоносная программа распространяется по локальным сетям и через интернет в виде вложений в зараженные электронные письма, файлообменные сети, а также через уязвимости в службах LSASS и RPC DCOM Microsoft Windows. Анализ вируса однозначно показывает, что при его создании использовались исходные коды печально известного червя Mydoom. Помимо стандартных для данного типа вредоносных программ функций, деструктивный эффект воздействия Plexus заключается в нарушении механизма загрузки обновлений Антивируса Касперского®. На настоящий момент получено большое число сообщений о случаях заражения Plexus.a.

Червь использует множество известных принципов размножения. Маскируясь под дистрибутивы популярных пользовательских приложений, Plexus.a попадает на компьютеры через локальные и файлообменные сети. Значительное число заражений происходит из-за печально известных уязвимостей в службах Microsoft Windows: LSASS, которой пользовался сетевой червь Sasser; и DCOM RPC - её использовал один из лидеров прошлогоднего вирусного рейтинга Lovesan. Таким образом, Plexus.a поражает компьютеры, на которых не установлены патчи, устраняющие данные уязвимости.

Характерной особенностью механизма самораспространения нового вируса является разнообразие вариантов рассылаемых зараженных электронных писем. Для дезориентации пользователей Plexus.a применяет пять различных вариантов писем. Они отличаются по формальным признакам: заголовку, текстовому содержанию и названию приложенного к сообщению файла. Неизменным остается его размер: упакованный в формате FSG файл занимает 16208 байт, распакованный - 57856.

После запуска червь копирует себя в системный каталог Windows под именем "upu*****", и регистрирует данный файл в ключе автозапуска системного реестра для самоактивации при каждой перезагрузке компьютера. Для определения своего присутствия в системе червь также создает в памяти уникальный идентификатор "Expletus". Затем он сканирует файлы на дисках пораженного компьютера и рассылает себя по всем найденным в них адресам электронной почты.

Помимо сложной процедуры самораспространения, Plexus.a располагает двумя деструктивными функциями, представляющими значительную угрозу инфицированному компьютеру. Прежде всего, червь пытается нарушить работу автоматического обновления антивирусных баз Антивируса Касперского. Это производится путем подмены содержимого файла "hosts" в системной директории Windows.

Не меньшую опасность для зараженного компьютера представляет троянская составляющая Plexus.a. C ее помощью вирус открывает на прослушивание TCP порт 1250, предоставляя возможность проводить загрузку файлов на машину-жертву с их последующим запуском. Это дает злоумышленникам доступ к удаленному управлению компьютером, в частности, позволяет запускать на выполнение различные команды и загружать файлы по усмотрению автора червя.

Процедуры защиты от I-Worm.Plexus.a уже добавлены в базу данных Антивируса Касперского. Более подробная информация о данной вредоносной программе доступна на сайте VirusList.com.

кто не заржен или кто успел обновить базу, пожалуйста, скиньте мне ее на мыло...заранее благодарен!!!!!!!!!!! ski_pass@crazy.ru :( :( :(

попробуй пожаловаца на спам...или письма от известных адресатов?

Ну если так трудно скинуть базу, такда может кто-то лекарство сможет дать? :(

А что тебе даст база ? При наличии лицензии ее можно скачать, при отсутствии пользы от нее никакой. Или ты хакнул Касперского :D ?

Нуу, выражаясь несколько иным языком, я приобрел лицензионную версию...всего за полтора рубля с подпиской на год)))))))

Представь себя на моем месте))купить тАкую хрень и, чтоб базы не обновлялись.......((

бакланы, надо было ставить norton antivirus. касперский забьется в уголочке!!! и базы халявные

патчи от микрософта и паучок в уголке(drweb), вот вам мой совет... :)

Значит с тобой продавец был не откровеннен когда впаривал "лицензию" за полтора рубля :) . Как это, "лицензия есть а обновлений нет" гы ? А оболочку можно и бесплатно скачать если поискать, только базы к ней не подцепишь, это Касп. подчеркивает отдельной строкой

Где то я читал впечатления перца наблюдавшего столкновение KAV и norton antivirus на одной машине. KAV победил, вот так то :D

да с лицензией-то все фпарядке, проста я червя патцыпил....майдума или плекса....че я просто так темку создал что-ли?!))...вопщем, вчера скачал с паленного сайта базы....и.....ахирел....вирусов 15 гдето, а ещо 209 тел вирусов...................все!заканиваю по порно сайтам лазить)))

А понял теперь. У тебя уже сидел вирус mydoom или plex когда ты проводил обновление базы, и они повредили ядро KAV именно при обновлении. Тогда делай так: включи монитор Касперского(он все еще жив) он определит точное название вируса(ов) (ведь обновление базы ты уже провел), иди на сайт Касперского и читай как удалить их вручную(стопудово экзешник(и) в с:\windows), удаляй, там же на сайте по мылу проси "убивалку" Касперского (KAVKiller) указав в мыле номер лицензии, этой утилитой окончательно сноси Касперского, предварительно сохранив файлы ключей отдельно, ставь Касперского заново, ставь ключи на место, обновляй базы и больше никогда не открывай подозрительные аттачи в мылах типа "here is important information"

ЗЫ. Просто я не пойму зачем ты просишь на мыло базы скинуть.

ага, я тоже читал))
это как русский с газовым ключом супротив педанта-англичанина с маленькими ключиками для всего..