Sicherheitsunternehmen warnen vor einem neuen Virus: Symantec nennt ihn 'Explet.A' und Kaspersky Labs hingegen 'Plexus.A'. Er verbreitet sich als E-Mail-Anhang, über Tauschbörsen und durch Sicherheitslücken im LSASS (Local Security Authority Subsystem Service) und RPC/DCOM (Remote Procedure Call/Distributed Component Object Model) von Windows.

Der Grossteil der Infektionen erfolgt nicht per E-Mail oder Tauschbörse, sondern über die Windows-Sicherheitslücken, hieß es bei Kaspersky Labs. Microsoft hatte Mitte April für diese einen Patch online gestellt.

Die Malware taucht jedoch auch in mehreren Varianten in E-Mail-Anhängen auf. Die Betreffzeile und Texte der E-Mails variieren dabei, die Anhänge sind unterschiedlich benannt. Öffnet man den Anhang, kopiert sich Explet/Plexus als 'upu.exe' in den Windows-Systemordner. Der Virus registriert sich als 'automatisch auszuführen', so dass er beim Hochfahren des Rechners aktiviert wird.

Danach scannt Explet/Plexus den Rechner und versendet sich an alle gefundenen E-Mail-Adressen. Der Virus hat auch einen trojanischen Teil: Er öffnet den Port 1250 für einen Port-Scan und lädt Dateien herunter, die eine Fernsteuerung des infizierten PCs ermöglichen.

Explet/Plexus versucht außerdem, den Anti-Viren-Schutz des Computers zu zerstören, indem er das automatische Herunterladen von Anti-Viren-Updates verhindert. Dazu manipuliert der Virus im Windows-Systemordner die Datei, die für die Aktualisierung der Virenliste zuständig ist. Sicherheitsspezialisten wie Symantec und Kaspersky Labs haben ihre Anti-Viren-Software bereits upgedatet.


Info: [Link entfernt, weil Linkziel leider nicht mehr verfügbar] [Link entfernt, weil Linkziel leider nicht mehr verfügbar]
Quelle: http://www.silicon.de/nl.php?id=181124