Вредоносная программа распространяется по локальным сетям и через интернет в виде вложений в электронные письма и файлообменные сети. Еще один путь к пользовательским компьютерам — через «дыру» в операционной системе Windows.
Специалисты в области информационной безопасности считают, что при создании вируса Plexus.a использовались исходные коды известного червя Mydoom, который успел заразить несколько миллионов компьютеров по всему миру.
В начале мая из-за уязвимости Windows разразилась не менее серьезная эпидемия вируса Sasser. Авторы Plexus.a, придумывая новый вирус, решили использовать все ту же «дырку».
Новый вирус особо опасен своей деструктивной функцией, в частности, он нарушает механизм загрузки обновлений «Антивируса Касперского».
Интернет-червь распространяется автоматически, без участия пользователей. Чтобы их дезориентировать, Plexus.a использует пять различных вариантов писем, которые отличаются заголовками, текстовым содержанием и названием приложенного к сообщению файла.
Неизменным остается только объем вируса: упакованный в специальном формате FSG файл занимает 16 кб, распакованный — 57 кб.
После запуска червь копирует себя в системный каталог Windows под именем upu.exe. Затем он сканирует файлы на дисках пораженного компьютера и рассылает себя по всем найденным адресам электронной почты.
Как отмечают представители антивирусных компаний, Plexus.a открывает TCP-порт компьютера, через который автор вируса получает возможность загружать и запускать файлы на машину-жертву.
Это предоставляет злоумышленникам полный доступ к удаленному управлению компьютером и позволяет извлекать данные о пользователе,
в том числе номера и коды кредитных карт, что позволяет ими расплачиваться.
Алексей Зернов, менеджер «Лаборатории Касперского» по корпоративным коммуникациям и пиару, заявил «Газете.Ru», что основная функция нового вируса — разрушать работу компьютера.
«Акция направлена в первую очередь против «Лаборатории Касперского», — уверен Зернов. — Новый вирус изменяет те строчки текста, которые относятся к нашей антивирусной программе. Мы объясняем это тем, что наша компания стала серьезным барьером для вирусописателей».
По подсчетам антивирусных компаний, число пользовательских компьютеров, зараженных Plexus.a, пока не прошло «эпидемиологический барьер». В «Лаборатории Касперского» говорят, что вирус заразил несколько тысяч компьютеров, и ему присвоен средний уровень опасности.
А вот в российском представительстве Panda Software латиноамериканской антивирусной компании «Газете.Ru» заявили, что не ждут новой эпидемии.
