-- 2004年6月3日更新 --
・http://www.techweb.com/wire/story/TWB20040603S0007にマスコミの注目が集まったため、危険度を[低(要注意)]に変更しました。
・このウイルスには、4365定義ファイルで対応いたします。4365定義ファイルは04/06/10に発行の予定です。それまでの間、このウイルスに対応するためにはβ版ウイルス定義ファイルをお使いください。
・W32/Plexus@MMは以下の方法で繁殖します。
- Microsoft Windowsのセキュリティホール[MS04-011の脆弱性(CAN-2003-0533)'LSASS']を利用
- RPCインタフェースバッファオーバーフロー(7.17.03)の脆弱性[MS03-026]を利用
- ターゲットマシンから収集した電子メールアドレスに自身を送信(差出人のアドレスを擬装)
- 自身をネットワーク全体にコピー
・第1の方法による繁殖を防止するため、ユーザはW32/Plexus@MMが利用するセキュリティホールに対するMicrosoft Windowsのセキュリティ修正プログラムをインストールする必要があります。詳細については、以下のURLを参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.asp
電子メールを介した繁殖
・W32/Plexus@MMは、自身のSMTPエンジンを使用して電子メールメッセージを作成します。ターゲットの電子メールアドレスは、ターゲットマシン上のローカルおよびマップされたドライブのファイルから収集されます。以下の拡張子を持つファイルがターゲットになります。
送信されたメッセージの差出人のアドレスを擬装します(メッセージの文字列、またはターゲットマシンから収集した電子メールアドレスを使用)。
・W32/Plexus@MMは、特定の電子メールアドレスをターゲットリストから除外します。本文に含まれる文字列を含むアドレスには自身を送信しません。
・送信メッセージの特徴は以下のとおりです。
件名:以下の件名を使用
- RE: order
- Good offer.
- For you
- RE:
- Hi, Mike
添付ファイル:以下のファイル名を持つファイルを添付
- SecUNCE.exe
- AtlantI.exe
- AGen1.03.exe
- demo.exe
- release.exe
本文:以下のいずれか
- Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me...
- Hi, my darling :)
Look at my new screensaver. I hope you will enjoy...
Your Liza
- Hi.
Here is the archive with those information, you asked me.
And don't forget it is strongly confidential!!!
Seya, man.
P.S. Don't forget my fee ;)
- My friend gave me this account generator for http://www.pantyola.com I wanna share it with you :)
And please do not distribute it. It's private.
- Hi, Nick. In this archive you can find all those things, you asked me.
See you, Steve.
共有を介した繁殖
・W32/Plexus@MMは、以下のファイル名で、利用可能なネットワークリソース、KaZaa共有フォルダに自身をコピーします。
- AVP5.xcrack.exe
- ICQBomber.exe
- hx00def.exe
- InternetOptimizer1.05b.exe
- Shrek_2.exe
- UnNukeit9xNTICQ04noimageCrk.exe
- YahooDBMails.exe
