Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Terjedésnek indult a LovGate féregvírus "F" variánsa

Bodnár Ádám, 2003. március 27. 14:22
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

[Vírushíradó] A LovGate C++ nyelven íródott, ASPack módszerrel tömörített programkódot tartalmazó kártevő kétféle terjedési módszert alkalmaz és beépített hátsóajtó komponenssel is rendelkezik.

hirdetés
[Vírushíradó] A LovGate C++ nyelven íródott, ASPack módszerrel tömörített programkódot tartalmazó kártevő kétféle terjedési módszert alkalmaz és beépített hátsóajtó komponenssel is rendelkezik.

A Lovegate féreg aktiválható fertőzött e-mail üzenet megnyitásával, de belső hálózatokon keresztül, a Windows alatt megosztott mappákban is terjed. Ha a megosztott mappa jelszóval védett, akkor megpróbálja az megfejteni. Az új vírus verzió többek között abban különbözik a korábbiaktól, hogy ehhez a próbálgatáshoz hosszabb jelszólistát használ. Az új "F" variáns megjelenése miatt célszerű minél előbb frissíteni a vírusismereti adatbázisokat.

Amikor a Lovegate megfertőz egy gépet, különféle fájlnevek alatt menti el egy-egy példányát a Windows rendszerkönyvtárába, majd a regisztrációs adatbázisba írva gondoskodik e fájlok automatikus futtatásáról. A féreg létrehoz egy további bejegyzést is, aminek hatására a fertőzött gépen bármely szöveges állomány megtekintésekor lefut.

Ezek után a féreg a Windows rendszerkönyvtárba menti károkozó rutinját, amelyet az alábbi fájlok hordoznak: ily.dll, task.dll, reg.dll. Ezek a programrészletek képesek a billentyűzeten begépelt adatok mentésére (ún. keylogger funkció), valamint fájlokban is kutatnak jelszavak után. Az így összegyűjtött adatokat a féreg a win32pwd.sys és a win32add.sys állományokban tárolja, majd elektronikus levelezés (SMTP) vagy trójai program üzemmódban eljuttatja a féreg írójának.

Végül a Lovgate féreg további sikeres terjedése érdekében megkísérel automatikusan egy fertőzött üzenet küldésével válaszolni minden beérkező levélre. Ehhez a funkcióhoz az Office Outlook programot használja fel, azonban az ezzel kapcsolatos féregkód-részlet hibásnak tűnik, így az nem minden esetben hajtódik végre. A féreg átnézi még a hypertext formátumú (.ht* kiterjesztésű) állományokat is, további levélcímek után kutatva.

Facebook
Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.