Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Nové virové nebezpečí. Braňte se!

aktualizováno 
Po dlouhé době dal o sobě znovu vědět virus LoveGate, který se například u firmy Network Associates propracoval až k verzi AB. Novinka umí odpovídat na e-maily a šíří se v místních i P2P sítích.
Další virové nebezpečí upoutalo společnosti, které se zabývají počítačovou bezpečností. Nová varianta viru LoveGate využívá ke svému šíření široké pole možností.

Nový virus LoveGate.ab (také LoveGate.ac, LoveGate.w, LoveGate.z) se šíří především prostřednictvím e-mailové pošty, ale pokouší se využít i P2P či místní sítě. Pokud úspěšně napadne počítačový systém, může být poměrně nebezpečný.

Identifikace viru

Jméno odesílatele je zfalšováno a může vycházet jednak z adres, které vir najde na počítači z něhož se odesílá, ale také z různých kombinací.

Mnohem zákeřnější je však při vytváření předmětu zprávy. Pokud totiž nevyužije některý z dále zmíněných textů, umí vytvářet odpovědi na došlé zprávy. V poli pro předmět zprávy se pak objeví „Re:“ a text předmětu zprávy, která na napadený počítač reálně dorazila.

Pokud tedy například na napadený počítač přišla zpráva z adresy redakce@technet.cz s předmětem „Varování před novým virem!“, může se klidně stát, že na tuto adresu dorazí zavirovaný e-mali s předmětem „Re: Varování před novým virem!“.

V případě, že tento systém pro zasílání odpovědí není virem využit, lze jako předmět zprávy očekávat některý z těchto výrazů:


Error
hello
hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status
test

Text samotného těla zprávy se pak také odvíjí podle toho, zda se jedná o odpověď na e-mail, nebo samostatně konstruovanou zprávu. V tom prvním případě je tělo zprávy složeno z několika částí. Nejdříve je jméno odesílatele původní zprávy, za kterým následuje výraz „wrote:

V další části je pak původní zpráva, po které následuje celá doména, z níž byl původní e-mail odeslán. Text zavirovaného e-mailu následně pokračuje slovy „auto-repaly:“ a tímto vloženým textem:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
>Get your FREE (doména původního e-mailu) account now! <.

Tělo zprávy tak v reálu může vypadat například takto:

redakce wrote:

>(zde by byl text zprávy, kterou zaslala redakce na adresu napadeného počítače)

technet.cz auto-replay:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
>Get your FREE technet.cz account now! <

Druhý případ, tedy ten, kdy se je celý e-mail vytvářen sám, pak nabízí v těle zprávy jednu z následujících možností:


It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
Mail failed. For further assistance, please contact!
pass
The message contains Unicode characters and has been sent as a binary attachment.

I samotná příloha je různá pro každý z tipů zavirované zprávy. V té, která je odpovědí na existující e-mail, naleznete některou z následujících jmén příloh:

Britney spears nude.exe.txt.exe
Deutsch BloodPatch!.exe
dreamweaver MX (crack).exe
DSL Modem Uncapper.rar.exe
How to Crack all gamez.exe
I am For u.doc.exe
Industry Giant II.exe
joke.pif
Macromedia Flash.scr
Me_nude.AVI.pif
s3msong.MP3.pif
SETUP.EXE
Sex in Office.rm.scr
Shakira.zip.exe
StarWars2 - CloneAttack.rm.scr
the hardcore game-.pif

Jestliže je však zavirovaný e-mail vytvořen bez použití již existující zprávy, je příloha s virem pojmenována některým z těchto názvů:

body
data
doc
documen
t file
message
readme
test
text

Tento název je pak kombinován z některou z následujících koncovek:

BAT
COM
EXE
PIF
SCR

Pokud tedy na základě předchozích indicií získáte podezření, že vám přišel některý z těchto virů, bez váhání jej smažte. Bez aktuální virové databáze ve vašem antivirovém programu a záplatovaného systému se i při vší opatrnosti však již neobejdete.

Další možnosti šíření viru

Nový LoveGate se šíří nejen e-mailem, ale snaží se proniknout i do sítě pro sdílení obsahu Kazaa. Za tímto účelem se nakopíruje do sdíleného adresáře pod některým z níže vyjmenovaných názvů:


BlackIcePCPSetup_creak
HEROSOFT
orcard_original_creak
Passware5.3
rainbowcrack-1.1-win
REALONE
setup
W32Dasm
word_pass_creak
wrar320sc

Pro další šíření se vir pokouší dostat do sdílených adresářů na místní síti. Do nich se pak ukládá jako soubor s některým z těchto jmen:


3D Flash Animator.rar.bat
AAdobe Photoshop7.0 creak.pif
Adobe Photoshop6.0.zip.exe
autoexec.bat
Cain.pif
client.exe
CloneCD crack.exe
Documents and Settings.txt.exe
Download.exe
findpass.exe
HyperSnap-DX v4.51.01.exe
i386.exe
Internet Explorer.bat
Microsoft Office.exe
mmc.exe
MSDN.ZIP.pif
Panda Crack.zip.exe
Real-DRAW PRO v3.10.exe
Star Wars Downloader.exe
Support Tools.exe
SWF Browser2.93.txt.exe
Swish2.00.pif
Thank you.doc.exe
Windows Media Player.zip.exe
WindowsUpdate.pif
winhlp32.exe
WinRAR V3.2.0 Beta 2.exe
WinRAR.exe
WinZip v9.0 Beta Build 5480 crack.exe
xcopy.exe
You_Life.JPG.pif

Jako speciální úkol se LoveGate.ab pokouší proniknout i do vzdálených počítačů jako administrátor. Přitom zkouší použít několik desítek hesel. V případě, že se mu průnik povede, zkopíruje se do adresáře administrátora pod jménem NetManager.exe. Dále spustí službu „Windows Management NetWork Service Extensions“ a pokusí se vytvořit sdílený adresář „Media“ do nějž uloží několik svých kopií.

Další akce

Vir se nakopíruje do adresáře Windows pod názvem SysTra.exe a do jeho podadresáře System či System32 jako ravmond.exe, iexplore.exe, WinHelp.exe, kernel66.dll. V kořenovém adresáři pak zanechává vir mimo svých zabalených kopií i soubory Autorun.inf, netlog.txt a command.exe. První slouží k aktivaci viru, druhý je samotnou kopií viru a do třetího jsou shromažďovány různé informace o systému.

Tyto informace pak může získat útočník, který do zavirovaného počítače může proniknout prostřednictvím portu 6000. Ten je virem otevřen, aby sloužil jako zadní vrátka.

LoveGate.ab se také snaží najít všechny dostupné soubory s koncovkou EXE. U objevených koncovku přejmenuje na ZMX a uloží je jako skryté systémové soubory. To dělá jen proto, aby mohl převzít místo těchto souborů.

Nová verze LoveGate se také snaží znemožnit chod některých bezpečnostních programů tím, že se pokouší vypnou následující procesy:

Duba
Gate
KAV
kill
KV
McAfee
NAV
RavMon.exe
Rfw.exe
rising
SkyNet
Symantec

Pokud chcete virové nákaze předejít, musíte dodržovat určitá pravidla. Přečtěte si náš článek Deset pravidel pro účinnou antivirovou ochranu.





Hlavní zprávy

Další z rubriky

Tipy a triky pro Windows 10
Tipy pro Windows 10: Zjistěte, kdo se chtěl přihlásit do vašeho PC

Motiv je kombinace obrázků na pozadí plochy, barev oken a zvuků. Poradíme, kde najít nové motivy nebo fonty, kterými ozvláštníte své dokumenty. Přidáme i tip...  celý článek

VPN v ohrožení
Apple stáhl z Číny aplikace s VPN. Putin podepsal jejich zákaz v Rusku

Blokování přístupu na necenzurovaný internet je v některých zemích stále populárnější. Kvůli požadavkům čínských úřadů tak Apple stahuje VPN aplikace. V Rusku...  celý článek

Avid Media Composer First
Stříhejte video jako hollywoodští profíci. Střižna od Avidu je zdarma

Společnost Avid vydala bezplatnou verzi své střižny Media Composer s názvem Media Composer First. Oproti té plné „hollywoodské“ verzi má několik omezení, ale...  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.