蠕虫病毒Plexus.A、Cult.J和Korgo

本周病毒报告主要关注6个蠕虫病毒Plexus.A、Cult.J和Korgo的4个变种，以及Protoride.gen。

Plexus.A利用RPC DCOM及LSASS漏洞通过Internet传播，袭击对象是那些尚未安装相应补丁的计算机，然后向在本机及影射驱动器中找到的地址发送自己。Plexus.A会改写Windows host文件，防止计算机连接到某些防病毒软件厂商的网站，以阻止机器进行防病毒保护更新。同时，Plexus.A会获取KaZaA的共享目录，并将自己复制到该目录中，如法炮制的还有网络共享文件夹，如此Plexus.A便能被广泛地传播。

Cult.J通过e-mail传播，邮件主题是“Hello, I sent you a beautiful love card. ^_*”，附件名为 BEAUTIFULLOVE.PIF。一旦附件被运行，蠕虫会利用自身的SMTP引擎向一系列邮件地址发送自己的复本。Cult.J会驻留常驻内存，并试图连接到IRC通道。 一旦得手，会使攻击者远程登录被感染计算机， 然后执行一系列操作，如：

- 通过IRC发起攻击

- 向外发送机密信息及系统数据。

- 下载并运行文件

- 向其它IRC通道发送蠕虫

Protoride.gen具有Protoride变种的普遍共性，这一点不久就会显现出来。Protoride家族具有如下一些共同特征：
 
- 他们都是通过向已获取控制权的计算机资源复制自己在计算机网络中传播。

- 他们都通过6667端口连接到IRC通道，并等待黑客发送远程控制指令（下载并运行文件，隐藏处于活跃状态的程序进程并将其卸载等等）。

- 他们都会修改Windows注册表键值，防止EXE文件运行，从而阻止特定的应用程序正常工作。

最后，我们来看Korgo的 C, D, E和 F变种。它们都是利用LSASS漏洞通过Internet传播。这4个变种都会打开3067端口并在那里等候，并且试图与IRC服务器相连接， 并被设计为能防止被感染计算机关机。

有关这些病毒及其它恶意代码的详细信息，请访问熊猫软件的病毒百科全书： http://www.pandasoftware.com/virus_info/encyclopedia/