Rus anti-virüs şirketi Kaspersky Labs, Plexus.A kurtçuğunun makinalara 3 yoldan birden girebildiğini raporladı; e-mail eklentisi, P2P (peer-to-peer) networkler (yani MP3 yükleme, ICQ gibi bağlantılar) ya da yerel güvenlik yetkilendirme altsistemi (Local Security Authority Subsystem Service – LSASS) açığı. Bu sonuncu açık için hatırlanacağı gibi nisan ayında Microsoft tarafından yama yayınlanmıştı (13 nisanda yayınlanan LSASS yaması için MS04-011 güvenlik yaması adresini tıklayınız).
Bu açığı hedefleyen diğer bir virüs zaten yayılıyor (Bkz : Korgo Kurtçuğu LSASS Açığını Hedefliyor).
Kapersky Labs yeni kurtçuğun Sasser ve Lovesan kurtçuklarının da kullandıkları RPC DCOM açığını da kullanabildiğini bildiriyor. (Bkz : Sasser Engellendi ama Varyantları Yayılıyor)
Şirket “Plexus port 1250’yi açıyor ve izliyor. Bu da virüs yazarının makinaya dosya yüklemesi ve çalıştırması için uygun bir port oluyor” diyor.
Kurtçuğu analiz edenler geçen yıl mail networklerine sızan MyDoom kitlesel mailing virüsünün yeniden yazılması ile oluştuğunu söylüyorlar.
Virüs yazarları makinalarda açık bir arka kapı bırakarak milyonlarca makinanın kontrolünü ellerine geçirmeyi hedefliyor olabilirler. Böylece saldırganların spam göndermesi ya da denial-of-service (dDOS) saldırıları düzenlemesi mümkün olabilir. .
Kapersky Labs, Plexus.A’nın orta düzey risk taşıdığını belirterek, kendisini, Windows/Systems 32 directory’si altına upu.exe olarak kopyaladığını ve sonra sistem registry’lerinde otomatik çalışmak için tanım yaptığını böylece de yerel ağ ve dosya paylaşımlı networkler üzerinden yayıldığını bildiriyor.
Kurtçuk kendisini paylaşımlı klasörlere .EXE uzantılı bir dosya şeklinde kopyalıyor ve ondan sonra Microsoft’un 2 güvenlik açığını kullanarak yayılıyor.
Kaynak : 