Közepesen veszélyes a Lovgate.ab féreg

Az AVERT, a Network Associates vírusszakértői csoportja a "közepesen veszélyes" kategóriába sorolta a W32/Lovgate.ab@MM férget.

A közlemény szerint az új variáns az otthoni és a vállalati felhasználók számára egyaránt közepes veszélyt jelent. A besorolást az előfordulás gyakoriságának növekedése tette indokolttá. A W32/Lovgate.ab@MM vírus kétféle módon terjeszti magát:

1. A fertőzött gépen található összes levélre válaszol a Windows MAPI protokollját használva. A féreg kitörli, majd válaszol a Microsoft Outlook és Outlook Express "beérkezett levelek" mappájában lévő olvasatlan levelekre. Az üzenet formája a következő:

Tárgy: Re: + eredeti tárgy

Csatolt állomány: the hardcore game-.pif, Sex in Office.rm.scr, Deutsch BloodPatch!.exe, s3msong.MP3.pif, Me_nude.AVI.pif, How to Crack all gamez.exe, Macromedia Flash.scr, SETUP.EXE, Shakira.zip.exe, dreamweaver MX (crack).exe, StarWars2 - CloneAttack.rm.scr, Industry Giant II.exe, DSL Modem Uncapper.rar.exe, joke.pif, Britney spears nude.exe.txt.exe, I am For u.doc.exe

2. Tartalmaz saját SMTP levelező motort, amellyel továbbküldi magát az összegyűjtött címekre, vagy keresztnnevekből és random karakterekből készít újakat. A csatolt állomány kiterjesztése: EXE, SCR, PIF, CMD, BAT. A csatolt állomány egy ZIP vagy RAR tömörített fájl is lehet, ami kettős kiterjesztésű fájlokat tartalmaz (a második mindig EXE).

A féreg megpróbál egy DNS kutatást elvégezni, potenciális SMTP szerverekért, amiket felhasználhat az üzenetek küldésére. A következő domain nevekre alapozza a keresést: gate, ns, relay, mail1, mxs, mx1, smtp, mail, mx. A féreg minden meghajtó gyökerében létrehoz egy AUTORUN.INF fájlt, ami arra szolgál, hogy a COMMAND.EXE fájlt futassa a Windows auto-run tulajdonságával. A féreg számos másolatát elhelyezi a fertőzött gépen, minden meghajtó gyökérkönyvtárába kerül egy ZIP vagy RAR tömörített fájl is.

Ha a Lovgate.ab megfertőzte a gépet, az e-mail küldése mellett még az alábbi módokon próbál terjedni:

A vírus bemásolja magát a Kazaa és Limewire fájlcserélő programok megosztott foldereibe

Megkísérel minden számítógépre bejelentkezni, amelyik a helyi hálózatban található, a saját magába beépített felhasználónév és jelszólista segítségével. Amennyiben sikeresen be tudott jelentkezni, felmásolja magát majd Windows Management NetWork Service Extensions néven, service-ként lefuttatja a NETMANAGER.EXE fájlt.

Kapcsolódó cikkek

• Közepesen veszélyes a Bagle újabb változata (2004. május 11.)
• Letartóztatták a Sasser iróját (2004. május 9.)
• A Sasser vírus változatainak terjedése; akár egymillió fertõzött gép világszerte (2004. május 5.)
• Közepesen veszélyes a Sasser.d féreg (2004. május 4.)
• Közepesen veszélyes a W32/Netsky.ab@MM (2004. április 30.)

Kapcsolódó linkek

• Network Associates