SG.hu

Közepesen veszélyes a Lovgate.ab féreg

Az AVERT, a Network Associates vírusszakértői csoportja a "közepesen veszélyes" kategóriába sorolta a W32/Lovgate.ab@MM férget.

A közlemény szerint az új variáns az otthoni és a vállalati felhasználók számára egyaránt közepes veszélyt jelent. A besorolást az előfordulás gyakoriságának növekedése tette indokolttá. A W32/Lovgate.ab@MM vírus kétféle módon terjeszti magát:

1. A fertőzött gépen található összes levélre válaszol a Windows MAPI protokollját használva. A féreg kitörli, majd válaszol a Microsoft Outlook és Outlook Express "beérkezett levelek" mappájában lévő olvasatlan levelekre. Az üzenet formája a következő:
  • Tárgy: Re: + eredeti tárgy
  • Csatolt állomány: the hardcore game-.pif, Sex in Office.rm.scr, Deutsch BloodPatch!.exe, s3msong.MP3.pif, Me_nude.AVI.pif, How to Crack all gamez.exe, Macromedia Flash.scr, SETUP.EXE, Shakira.zip.exe, dreamweaver MX (crack).exe, StarWars2 - CloneAttack.rm.scr, Industry Giant II.exe, DSL Modem Uncapper.rar.exe, joke.pif, Britney spears nude.exe.txt.exe, I am For u.doc.exe

    2. Tartalmaz saját SMTP levelező motort, amellyel továbbküldi magát az összegyűjtött címekre, vagy keresztnnevekből és random karakterekből készít újakat. A csatolt állomány kiterjesztése: EXE, SCR, PIF, CMD, BAT. A csatolt állomány egy ZIP vagy RAR tömörített fájl is lehet, ami kettős kiterjesztésű fájlokat tartalmaz (a második mindig EXE).

    A féreg megpróbál egy DNS kutatást elvégezni, potenciális SMTP szerverekért, amiket felhasználhat az üzenetek küldésére. A következő domain nevekre alapozza a keresést: gate, ns, relay, mail1, mxs, mx1, smtp, mail, mx. A féreg minden meghajtó gyökerében létrehoz egy AUTORUN.INF fájlt, ami arra szolgál, hogy a COMMAND.EXE fájlt futassa a Windows auto-run tulajdonságával. A féreg számos másolatát elhelyezi a fertőzött gépen, minden meghajtó gyökérkönyvtárába kerül egy ZIP vagy RAR tömörített fájl is.

    Ha a Lovgate.ab megfertőzte a gépet, az e-mail küldése mellett még az alábbi módokon próbál terjedni:
  • A vírus bemásolja magát a Kazaa és Limewire fájlcserélő programok megosztott foldereibe
  • Megkísérel minden számítógépre bejelentkezni, amelyik a helyi hálózatban található, a saját magába beépített felhasználónév és jelszólista segítségével. Amennyiben sikeresen be tudott jelentkezni, felmásolja magát majd Windows Management NetWork Service Extensions néven, service-ként lefuttatja a NETMANAGER.EXE fájlt.
  • Hozzászólások

    A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
    Bejelentkezéshez klikk ide
    (Regisztráció a fórum nyitóoldalán)
    • mrzool #2
      Melyikre gondolsz?
    • kev #1
      Ezek minden virust vagy alacsony, vagy közepesen veszélyesnek neveznek... Az egyik tavalyi a fél internetet napokra lebénító szerver vírus, is ilyen osztályzatot kapott..

      De csak azután miután a virusvadászok is újraindították a szervereiket.. .)