SG.hu
Közepesen veszélyes a Lovgate.ab féreg
Az AVERT, a Network Associates vírusszakértői csoportja a "közepesen veszélyes" kategóriába sorolta a W32/Lovgate.ab@MM férget.
A közlemény szerint az új variáns az otthoni és a vállalati felhasználók számára egyaránt közepes veszélyt jelent. A besorolást az előfordulás gyakoriságának növekedése tette indokolttá. A W32/Lovgate.ab@MM vírus kétféle módon terjeszti magát:
1. A fertőzött gépen található összes levélre válaszol a Windows MAPI protokollját használva. A féreg kitörli, majd válaszol a Microsoft Outlook és Outlook Express "beérkezett levelek" mappájában lévő olvasatlan levelekre. Az üzenet formája a következő:
Tárgy: Re: + eredeti tárgy
Csatolt állomány: the hardcore game-.pif, Sex in Office.rm.scr, Deutsch BloodPatch!.exe, s3msong.MP3.pif, Me_nude.AVI.pif, How to Crack all gamez.exe, Macromedia Flash.scr, SETUP.EXE, Shakira.zip.exe, dreamweaver MX (crack).exe, StarWars2 - CloneAttack.rm.scr, Industry Giant II.exe, DSL Modem Uncapper.rar.exe, joke.pif, Britney spears nude.exe.txt.exe, I am For u.doc.exe
2. Tartalmaz saját SMTP levelező motort, amellyel továbbküldi magát az összegyűjtött címekre, vagy keresztnnevekből és random karakterekből készít újakat. A csatolt állomány kiterjesztése: EXE, SCR, PIF, CMD, BAT. A csatolt állomány egy ZIP vagy RAR tömörített fájl is lehet, ami kettős kiterjesztésű fájlokat tartalmaz (a második mindig EXE).
A féreg megpróbál egy DNS kutatást elvégezni, potenciális SMTP szerverekért, amiket felhasználhat az üzenetek küldésére. A következő domain nevekre alapozza a keresést: gate, ns, relay, mail1, mxs, mx1, smtp, mail, mx. A féreg minden meghajtó gyökerében létrehoz egy AUTORUN.INF fájlt, ami arra szolgál, hogy a COMMAND.EXE fájlt futassa a Windows auto-run tulajdonságával. A féreg számos másolatát elhelyezi a fertőzött gépen, minden meghajtó gyökérkönyvtárába kerül egy ZIP vagy RAR tömörített fájl is.
Ha a Lovgate.ab megfertőzte a gépet, az e-mail küldése mellett még az alábbi módokon próbál terjedni:
A vírus bemásolja magát a Kazaa és Limewire fájlcserélő programok megosztott foldereibe
Megkísérel minden számítógépre bejelentkezni, amelyik a helyi hálózatban található, a saját magába beépített felhasználónév és jelszólista segítségével. Amennyiben sikeresen be tudott jelentkezni, felmásolja magát majd Windows Management NetWork Service Extensions néven, service-ként lefuttatja a NETMANAGER.EXE fájlt.
A közlemény szerint az új variáns az otthoni és a vállalati felhasználók számára egyaránt közepes veszélyt jelent. A besorolást az előfordulás gyakoriságának növekedése tette indokolttá. A W32/Lovgate.ab@MM vírus kétféle módon terjeszti magát:
1. A fertőzött gépen található összes levélre válaszol a Windows MAPI protokollját használva. A féreg kitörli, majd válaszol a Microsoft Outlook és Outlook Express "beérkezett levelek" mappájában lévő olvasatlan levelekre. Az üzenet formája a következő:
2. Tartalmaz saját SMTP levelező motort, amellyel továbbküldi magát az összegyűjtött címekre, vagy keresztnnevekből és random karakterekből készít újakat. A csatolt állomány kiterjesztése: EXE, SCR, PIF, CMD, BAT. A csatolt állomány egy ZIP vagy RAR tömörített fájl is lehet, ami kettős kiterjesztésű fájlokat tartalmaz (a második mindig EXE).
A féreg megpróbál egy DNS kutatást elvégezni, potenciális SMTP szerverekért, amiket felhasználhat az üzenetek küldésére. A következő domain nevekre alapozza a keresést: gate, ns, relay, mail1, mxs, mx1, smtp, mail, mx. A féreg minden meghajtó gyökerében létrehoz egy AUTORUN.INF fájlt, ami arra szolgál, hogy a COMMAND.EXE fájlt futassa a Windows auto-run tulajdonságával. A féreg számos másolatát elhelyezi a fertőzött gépen, minden meghajtó gyökérkönyvtárába kerül egy ZIP vagy RAR tömörített fájl is.
Ha a Lovgate.ab megfertőzte a gépet, az e-mail küldése mellett még az alábbi módokon próbál terjedni: