Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


První letošní vir Lirva krade hesla a vyřazuje z provozu antiviry

  0:01aktualizováno  0:01
Tvůrci virů nabrali sil do nového roku a již je zde první přírůstek do galerie virů, který zkomplikuje život nejednomu uživateli. Čím se vir vyznačuje a jak vám může zkomplikovat život?

Objevil se další z dlouhé řady tzv. „mass-mailing“ červů. Dostal jméno Livra (nebo také Naith či Avril).

Lirva je do značné míry typický e-mailový červ. Kromě e-mailu se dokáže šířit také pomocí ICQ, IRC a P2P sítě KaZaa. Kromě toho obsahuje také rutinu pro kradení hesel (Password-Stealer) a snaží se „zabíjet“ procesy některých antivirových a bezpečnostních programů.

Pro vyhledávání e-mailových adres dalších potencionálních obětí červ používá širokou paletu funkcí. V Outlooku prohledává „Sent Items“ a „Inbox“, zneužívá Windows Address Book (WAB) a na lokálním disku prohledává další soubory s příponami .DBX, .EML, .HTM, .HTML, .IDX, .MBX, .NCH, .SHTML, .TBB a .WAB.

Předmět infikovaného e-mailu je náhodně volen z následujícího seznamu:
Fw: Avril Lavigne - the best
Fw: Prohibited customers...
Fwd: Re: Admission procedure
Fwd: Re: Reply on account for Incorrect MIME-header
Re: According to Daos Summit
Re: ACTR/ACCELS Transcriptions
Re: Brigade Ocho Free membership
Re: Reply on account for IFRAME-Security breach
Re: Reply on account for IIS-Security
Re: The real estate plunger

E-mail může také obsahovat známou bezpečnostní díru (MIME exploit), která může způsobit spuštění přiloženého souboru při jeho otevření.

Červ se snaží o svoje rozeslání pomocí ICQ a mIRC klienta, jehož nastavení modifikuje prostřednictvím jeho boot skriptů.

Pokud je červ v systému aktivní, snaží se o ukončování procesů některých bezpečnostních programů. Procesy rozlišuje na základě jejich jmen. Současně také monitoruje názvy (titlebar) otevíraných oken, a pokud název obsahuje některý z definovaných textových řetězců, snaží se okno zavřít.

Do systému se kopíruje pod náhodným jménem (např: A33AAAAgbab.EXE) do adresáře C:\WINDOWS\SYSTEM32. Do systémových registrů červ pro tento soubor přidává klíč, který zajišťuje jeho spuštění během startu systému. Další klíč používá jako příznak infekce.

Kromě toho kopíruje pod náhodným jménem svoje další čtyři exempláře do Odpadkového koše Windows (RECYCLED) a pro jeden z nich přidává odkaz do souboru AUTOEXEC.BAT. Další soubor umisťuje do adresáře C:\WINDOWS\TEMP. Do stejného adresáře ukládá soubor „avril-ii.inf“, který obsahuje vzkaz od jeho autora.

První letošní vir Lirva krade hesla a vyřazuje z provozu antiviry

K odesílání infikovaných e-mailů červ využívá vlastní SMTP engine, s jehož pomocí se také snaží o odesílání hesel z infikovaného systému svému autorovi.

Činnost červa se projevuje tak, že po svém spuštění zobrazuje v internetovém prohlížeči (default browser) webovou stránku Avril Lavigne (http://www.avril-lavigne.com) a v levém horním rohu text: AVRIL_LAVIGNE_LET_GO-MY_MUSE:) 2002 (c). Na pracovní ploše může vykreslovat barevné geometrické obrazce, které její obsah překrývají. 

Článek vznikl ve spolupráci se společností AEC. Na jejích stránkách naleznete rovněž více informací o viru. 





Hlavní zprávy

Další z rubriky

Ilustrační foto
Aplikace na neděli: tablet jako malířské plátno či rezervační systém

Náš přehled užitečných aplikací pro tablety tentokrát obsahuje jednu, která šifrováním ochrání data v cloudovém úložišti, šikovný hudební přehrávač, čtečku...  celý článek

Freeimages.com
Obnovujeme zapomenuté heslo pro přístup do Windows

Obejít operační systém Windows a dostat se do něj i bez znalosti uživatelského hesla? Není to snadný úkol, ale při troše štěstí toho dosáhnout lze. Představíme...  celý článek

Fakturace
Software zdarma: šetřete čas při vystavování faktur

Jste-li na volné noze, tedy živnostník, podnikatel či prostě jen příležitostně potřebujete někomu svoji práci vyfakturovat, dělejte to moderně. Zapomeňte na...  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.