Nové virové nebezpečí. Braňte se!

Po dlouhé době dal o sobě znovu vědět virus LoveGate, který se například u firmy Network Associates propracoval až k verzi AB. Novinka umí odpovídat na e-maily a šíří se v místních i P2P sítích.
Další virové nebezpečí upoutalo společnosti, které se zabývají počítačovou bezpečností. Nová varianta viru LoveGate využívá ke svému šíření široké pole možností.

Nový virus LoveGate.ab (také LoveGate.ac, LoveGate.w, LoveGate.z) se šíří především prostřednictvím e-mailové pošty, ale pokouší se využít i P2P či místní sítě. Pokud úspěšně napadne počítačový systém, může být poměrně nebezpečný.

Identifikace viru

Jméno odesílatele je zfalšováno a může vycházet jednak z adres, které vir najde na počítači z něhož se odesílá, ale také z různých kombinací.

Mnohem zákeřnější je však při vytváření předmětu zprávy. Pokud totiž nevyužije některý z dále zmíněných textů, umí vytvářet odpovědi na došlé zprávy. V poli pro předmět zprávy se pak objeví „Re:“ a text předmětu zprávy, která na napadený počítač reálně dorazila.

Pokud tedy například na napadený počítač přišla zpráva z adresy redakce@technet.cz s předmětem „Varování před novým virem!“, může se klidně stát, že na tuto adresu dorazí zavirovaný e-mali s předmětem „Re: Varování před novým virem!“.

V případě, že tento systém pro zasílání odpovědí není virem využit, lze jako předmět zprávy očekávat některý z těchto výrazů:


Error
hello
hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status
test

Text samotného těla zprávy se pak také odvíjí podle toho, zda se jedná o odpověď na e-mail, nebo samostatně konstruovanou zprávu. V tom prvním případě je tělo zprávy složeno z několika částí. Nejdříve je jméno odesílatele původní zprávy, za kterým následuje výraz „wrote:

V další části je pak původní zpráva, po které následuje celá doména, z níž byl původní e-mail odeslán. Text zavirovaného e-mailu následně pokračuje slovy „auto-repaly:“ a tímto vloženým textem:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
>Get your FREE (doména původního e-mailu) account now! <.

Tělo zprávy tak v reálu může vypadat například takto:

redakce wrote:

>(zde by byl text zprávy, kterou zaslala redakce na adresu napadeného počítače)

technet.cz auto-replay:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
>Get your FREE technet.cz account now! <

Druhý případ, tedy ten, kdy se je celý e-mail vytvářen sám, pak nabízí v těle zprávy jednu z následujících možností:


It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
Mail failed. For further assistance, please contact!
pass
The message contains Unicode characters and has been sent as a binary attachment.

I samotná příloha je různá pro každý z tipů zavirované zprávy. V té, která je odpovědí na existující e-mail, naleznete některou z následujících jmén příloh:

Britney spears nude.exe.txt.exe
Deutsch BloodPatch!.exe
dreamweaver MX (crack).exe
DSL Modem Uncapper.rar.exe
How to Crack all gamez.exe
I am For u.doc.exe
Industry Giant II.exe
joke.pif
Macromedia Flash.scr
Me_nude.AVI.pif
s3msong.MP3.pif
SETUP.EXE
Sex in Office.rm.scr
Shakira.zip.exe
StarWars2 - CloneAttack.rm.scr
the hardcore game-.pif

Jestliže je však zavirovaný e-mail vytvořen bez použití již existující zprávy, je příloha s virem pojmenována některým z těchto názvů:

body
data
doc
documen
t file
message
readme
test
text

Tento název je pak kombinován z některou z následujících koncovek:

BAT
COM
EXE
PIF
SCR

Pokud tedy na základě předchozích indicií získáte podezření, že vám přišel některý z těchto virů, bez váhání jej smažte. Bez aktuální virové databáze ve vašem antivirovém programu a záplatovaného systému se i při vší opatrnosti však již neobejdete.

Další možnosti šíření viru

Nový LoveGate se šíří nejen e-mailem, ale snaží se proniknout i do sítě pro sdílení obsahu Kazaa. Za tímto účelem se nakopíruje do sdíleného adresáře pod některým z níže vyjmenovaných názvů:


BlackIcePCPSetup_creak
HEROSOFT
orcard_original_creak
Passware5.3
rainbowcrack-1.1-win
REALONE
setup
W32Dasm
word_pass_creak
wrar320sc

Pro další šíření se vir pokouší dostat do sdílených adresářů na místní síti. Do nich se pak ukládá jako soubor s některým z těchto jmen:


3D Flash Animator.rar.bat
AAdobe Photoshop7.0 creak.pif
Adobe Photoshop6.0.zip.exe
autoexec.bat
Cain.pif
client.exe
CloneCD crack.exe
Documents and Settings.txt.exe
Download.exe
findpass.exe
HyperSnap-DX v4.51.01.exe
i386.exe
Internet Explorer.bat
Microsoft Office.exe
mmc.exe
MSDN.ZIP.pif
Panda Crack.zip.exe
Real-DRAW PRO v3.10.exe
Star Wars Downloader.exe
Support Tools.exe
SWF Browser2.93.txt.exe
Swish2.00.pif
Thank you.doc.exe
Windows Media Player.zip.exe
WindowsUpdate.pif
winhlp32.exe
WinRAR V3.2.0 Beta 2.exe
WinRAR.exe
WinZip v9.0 Beta Build 5480 crack.exe
xcopy.exe
You_Life.JPG.pif

Jako speciální úkol se LoveGate.ab pokouší proniknout i do vzdálených počítačů jako administrátor. Přitom zkouší použít několik desítek hesel. V případě, že se mu průnik povede, zkopíruje se do adresáře administrátora pod jménem NetManager.exe. Dále spustí službu „Windows Management NetWork Service Extensions“ a pokusí se vytvořit sdílený adresář „Media“ do nějž uloží několik svých kopií.

Další akce

Vir se nakopíruje do adresáře Windows pod názvem SysTra.exe a do jeho podadresáře System či System32 jako ravmond.exe, iexplore.exe, WinHelp.exe, kernel66.dll. V kořenovém adresáři pak zanechává vir mimo svých zabalených kopií i soubory Autorun.inf, netlog.txt a command.exe. První slouží k aktivaci viru, druhý je samotnou kopií viru a do třetího jsou shromažďovány různé informace o systému.

Tyto informace pak může získat útočník, který do zavirovaného počítače může proniknout prostřednictvím portu 6000. Ten je virem otevřen, aby sloužil jako zadní vrátka.

LoveGate.ab se také snaží najít všechny dostupné soubory s koncovkou EXE. U objevených koncovku přejmenuje na ZMX a uloží je jako skryté systémové soubory. To dělá jen proto, aby mohl převzít místo těchto souborů.

Nová verze LoveGate se také snaží znemožnit chod některých bezpečnostních programů tím, že se pokouší vypnou následující procesy:

Duba
Gate
KAV
kill
KV
McAfee
NAV
RavMon.exe
Rfw.exe
rising
SkyNet
Symantec

Pokud chcete virové nákaze předejít, musíte dodržovat určitá pravidla. Přečtěte si náš článek Deset pravidel pro účinnou antivirovou ochranu.

  • Nejčtenější

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

v diskusi je 125 příspěvků

26. března 2024

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

v diskusi je 76 příspěvků

27. března 2024

Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 42 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

v diskusi je 50 příspěvků

21. března 2024  10:23,  aktualizováno  14:26

Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 20 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Za vyhynutím dinosaurům mohla být i doba temna

v diskusi nejsou příspěvky

29. března 2024

Dopad planetky je nyní většinou odborníků považován za hlavní příčinu vyhynutí zhruba 73 až 76 %...

Podívejte se na Boeing C-17 Globemaster, který do Česka přivezl nové vrtulníky

v diskusi nejsou příspěvky

29. března 2024

V sobotu 23. března dosedl v Praze nákladní letoun USAF, který vezl obzvlášť cenný náklad. Z...

Dočasná raketa se po téměř 70 letech loučí. Bude startovat naposledy

v diskusi jsou 4 příspěvky

28. března 2024  15:36,  aktualizováno  19:54

Tento čtvrtek stojí na startovací rampě mysu Canaveral poslední potomek raket Thor, nosič Delta IV...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 20 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...

Stále víc hráčů dobrovolně opouští Survivor. Je znamením doby zhýčkanost?

Letošní ročník reality show Survivor je zatím nejkritizovanějším v celé historii soutěže. Může za to fakt, že už...