Virus Explet/Plexus zieht alle Register

Angriff über E-Mail, Tauschbörsen und Windows-Sicherheitslücken


Sicherheitsunternehmen warnen vor einem neuen Virus. Symantec nennt die Malware 'Explet.A', Kaspersky Labs bezeichnet sie mit 'Plexus.A'. Explet/Plexus verbreitet sich als E-Mail-Anhang, über Tauschbörsen und durch Sicherheitslücken im LSASS (Local Security Authority Subsystem Service) und RPC/DCOM (Remote Procedure Call/Distributed Component Object Model) von Windows.

Der Grossteil der Infektionen erfolgt nicht per E-Mail oder Tauschbörse, sondern über die Windows-Sicherheitslücken, hieß es bei Kaspersky Labs. Microsoft hatte Mitte April für diese einen Patch online gestellt.

Explet/Plexus taucht jedoch auch in mehreren Varianten in E-Mail-Anhängen auf. Die Betreffzeile und Texte der E-Mails variieren dabei, die Anhänge sind unterschiedlich benannt. Öffnet man den Anhang, kopiert sich Explet/Plexus als 'upu.exe' in den Windows-Systemordner. Der Virus registriert sich als 'automatisch auszuführen', so dass er beim Hochfahren des Rechners aktiviert wird.

Danach scannt Explet/Plexus den Rechner und versendet sich an alle gefundenen E-Mail-Adressen. Der Virus hat auch einen trojanischen Teil: Er öffnet den Port 1250 für einen Port-Scan und lädt Dateien herunter, die eine Fernsteuerung des infizierten PCs ermöglichen.

Explet/Plexus versucht außerdem, den Anti-Viren-Schutz des Computers zu zerstören, indem er das automatische Herunterladen von Anti-Viren-Updates verhindert. Dazu manipuliert der Virus im Windows-Systemordner die Datei, die für die Aktualisierung der Virenliste zuständig ist. Sicherheitsspezialisten wie Symantec und Kaspersky Labs haben ihre Anti-Viren-Software upgedatet.