Terjedésnek indult a LovGate féregvírus "F" variánsa

[Vírushíradó] A LovGate C++ nyelven íródott, ASPack módszerrel tömörített programkódot tartalmazó kártevő kétféle terjedési módszert alkalmaz és beépített hátsóajtó komponenssel is rendelkezik.

A Lovegate féreg aktiválható fertőzött e-mail üzenet megnyitásával, de belső hálózatokon keresztül, a Windows alatt megosztott mappákban is terjed. Ha a megosztott mappa jelszóval védett, akkor megpróbálja az megfejteni. Az új vírus verzió többek között abban különbözik a korábbiaktól, hogy ehhez a próbálgatáshoz hosszabb jelszólistát használ. Az új "F" variáns megjelenése miatt célszerű minél előbb frissíteni a vírusismereti adatbázisokat.

Amikor a Lovegate megfertőz egy gépet, különféle fájlnevek alatt menti el egy-egy példányát a Windows rendszerkönyvtárába, majd a regisztrációs adatbázisba írva gondoskodik e fájlok automatikus futtatásáról. A féreg létrehoz egy további bejegyzést is, aminek hatására a fertőzött gépen bármely szöveges állomány megtekintésekor lefut.

Ezek után a féreg a Windows rendszerkönyvtárba menti károkozó rutinját, amelyet az alábbi fájlok hordoznak: ily.dll, task.dll, reg.dll. Ezek a programrészletek képesek a billentyűzeten begépelt adatok mentésére (ún. keylogger funkció), valamint fájlokban is kutatnak jelszavak után. Az így összegyűjtött adatokat a féreg a win32pwd.sys és a win32add.sys állományokban tárolja, majd elektronikus levelezés (SMTP) vagy trójai program üzemmódban eljuttatja a féreg írójának.

Végül a Lovgate féreg további sikeres terjedése érdekében megkísérel automatikusan egy fertőzött üzenet küldésével válaszolni minden beérkező levélre. Ehhez a funkcióhoz az Office Outlook programot használja fel, azonban az ezzel kapcsolatos féregkód-részlet hibásnak tűnik, így az nem minden esetben hajtódik végre. A féreg átnézi még a hypertext formátumú (.ht* kiterjesztésű) állományokat is, további levélcímek után kutatva.