Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


První letošní vir Lirva krade hesla a vyřazuje z provozu antiviry

  0:01aktualizováno  0:01
Tvůrci virů nabrali sil do nového roku a již je zde první přírůstek do galerie virů, který zkomplikuje život nejednomu uživateli. Čím se vir vyznačuje a jak vám může zkomplikovat život?

Objevil se další z dlouhé řady tzv. „mass-mailing“ červů. Dostal jméno Livra (nebo také Naith či Avril).

Lirva je do značné míry typický e-mailový červ. Kromě e-mailu se dokáže šířit také pomocí ICQ, IRC a P2P sítě KaZaa. Kromě toho obsahuje také rutinu pro kradení hesel (Password-Stealer) a snaží se „zabíjet“ procesy některých antivirových a bezpečnostních programů.

Pro vyhledávání e-mailových adres dalších potencionálních obětí červ používá širokou paletu funkcí. V Outlooku prohledává „Sent Items“ a „Inbox“, zneužívá Windows Address Book (WAB) a na lokálním disku prohledává další soubory s příponami .DBX, .EML, .HTM, .HTML, .IDX, .MBX, .NCH, .SHTML, .TBB a .WAB.

Předmět infikovaného e-mailu je náhodně volen z následujícího seznamu:
Fw: Avril Lavigne - the best
Fw: Prohibited customers...
Fwd: Re: Admission procedure
Fwd: Re: Reply on account for Incorrect MIME-header
Re: According to Daos Summit
Re: ACTR/ACCELS Transcriptions
Re: Brigade Ocho Free membership
Re: Reply on account for IFRAME-Security breach
Re: Reply on account for IIS-Security
Re: The real estate plunger

E-mail může také obsahovat známou bezpečnostní díru (MIME exploit), která může způsobit spuštění přiloženého souboru při jeho otevření.

Červ se snaží o svoje rozeslání pomocí ICQ a mIRC klienta, jehož nastavení modifikuje prostřednictvím jeho boot skriptů.

Pokud je červ v systému aktivní, snaží se o ukončování procesů některých bezpečnostních programů. Procesy rozlišuje na základě jejich jmen. Současně také monitoruje názvy (titlebar) otevíraných oken, a pokud název obsahuje některý z definovaných textových řetězců, snaží se okno zavřít.

Do systému se kopíruje pod náhodným jménem (např: A33AAAAgbab.EXE) do adresáře C:\WINDOWS\SYSTEM32. Do systémových registrů červ pro tento soubor přidává klíč, který zajišťuje jeho spuštění během startu systému. Další klíč používá jako příznak infekce.

Kromě toho kopíruje pod náhodným jménem svoje další čtyři exempláře do Odpadkového koše Windows (RECYCLED) a pro jeden z nich přidává odkaz do souboru AUTOEXEC.BAT. Další soubor umisťuje do adresáře C:\WINDOWS\TEMP. Do stejného adresáře ukládá soubor „avril-ii.inf“, který obsahuje vzkaz od jeho autora.

První letošní vir Lirva krade hesla a vyřazuje z provozu antiviry

K odesílání infikovaných e-mailů červ využívá vlastní SMTP engine, s jehož pomocí se také snaží o odesílání hesel z infikovaného systému svému autorovi.

Činnost červa se projevuje tak, že po svém spuštění zobrazuje v internetovém prohlížeči (default browser) webovou stránku Avril Lavigne (http://www.avril-lavigne.com) a v levém horním rohu text: AVRIL_LAVIGNE_LET_GO-MY_MUSE:) 2002 (c). Na pracovní ploše může vykreslovat barevné geometrické obrazce, které její obsah překrývají. 

Článek vznikl ve spolupráci se společností AEC. Na jejích stránkách naleznete rovněž více informací o viru. 





Hlavní zprávy

Další z rubriky

Chraňte včas své elektronické zařízení.
Chraňte svůj tablet před viry a hackery a za odměnu si zahrajte

Bezpečnostní rizika dnes číhají i na majitele mobilních zařízení, takže jsme do dnešního přehledu zařadili i antivirovou aplikaci, která se postará i o ochranu...  celý článek

Notebook
Stáhněte si zdarma: Vdechněte právě pořízeným fotografiím retro vzhled

Jako kdyby byly pořízeny Polaroidem a před dávnou dobou. Přitom jsou to fotografie zcela nové. Chcete-li i vy takové vytvářet, použijte program XnRetro....  celý článek

Tipy a triky pro Windows 10
Tipy pro Windows 10: automatické zapínání wi-fi či vyšší zabezpečení

Ruční deaktivace wi-fi připojení a její automatická aktivace po určité době zajistí, že vás nikdo v tuto chvíli nebude rušit. Ukážeme také, jak v oznamovací...  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.