Premium

Získejte všechny články
jen za 89 Kč/měsíc

Nové virové nebezpečí. Braňte se!

Po dlouhé době dal o sobě znovu vědět virus LoveGate, který se například u firmy Network Associates propracoval až k verzi AB. Novinka umí odpovídat na e-maily a šíří se v místních i P2P sítích.
Další virové nebezpečí upoutalo společnosti, které se zabývají počítačovou bezpečností. Nová varianta viru LoveGate využívá ke svému šíření široké pole možností.

Nový virus LoveGate.ab (také LoveGate.ac, LoveGate.w, LoveGate.z) se šíří především prostřednictvím e-mailové pošty, ale pokouší se využít i P2P či místní sítě. Pokud úspěšně napadne počítačový systém, může být poměrně nebezpečný.

Identifikace viru

Jméno odesílatele je zfalšováno a může vycházet jednak z adres, které vir najde na počítači z něhož se odesílá, ale také z různých kombinací.

Mnohem zákeřnější je však při vytváření předmětu zprávy. Pokud totiž nevyužije některý z dále zmíněných textů, umí vytvářet odpovědi na došlé zprávy. V poli pro předmět zprávy se pak objeví „Re:“ a text předmětu zprávy, která na napadený počítač reálně dorazila.

Pokud tedy například na napadený počítač přišla zpráva z adresy redakce@technet.cz s předmětem „Varování před novým virem!“, může se klidně stát, že na tuto adresu dorazí zavirovaný e-mali s předmětem „Re: Varování před novým virem!“.

V případě, že tento systém pro zasílání odpovědí není virem využit, lze jako předmět zprávy očekávat některý z těchto výrazů:


Error
hello
hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status
test

Text samotného těla zprávy se pak také odvíjí podle toho, zda se jedná o odpověď na e-mail, nebo samostatně konstruovanou zprávu. V tom prvním případě je tělo zprávy složeno z několika částí. Nejdříve je jméno odesílatele původní zprávy, za kterým následuje výraz „wrote:

V další části je pak původní zpráva, po které následuje celá doména, z níž byl původní e-mail odeslán. Text zavirovaného e-mailu následně pokračuje slovy „auto-repaly:“ a tímto vloženým textem:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
>Get your FREE (doména původního e-mailu) account now! <.

Tělo zprávy tak v reálu může vypadat například takto:

redakce wrote:

>(zde by byl text zprávy, kterou zaslala redakce na adresu napadeného počítače)

technet.cz auto-replay:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
>Get your FREE technet.cz account now! <

Druhý případ, tedy ten, kdy se je celý e-mail vytvářen sám, pak nabízí v těle zprávy jednu z následujících možností:


It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
Mail failed. For further assistance, please contact!
pass
The message contains Unicode characters and has been sent as a binary attachment.

I samotná příloha je různá pro každý z tipů zavirované zprávy. V té, která je odpovědí na existující e-mail, naleznete některou z následujících jmén příloh:

Britney spears nude.exe.txt.exe
Deutsch BloodPatch!.exe
dreamweaver MX (crack).exe
DSL Modem Uncapper.rar.exe
How to Crack all gamez.exe
I am For u.doc.exe
Industry Giant II.exe
joke.pif
Macromedia Flash.scr
Me_nude.AVI.pif
s3msong.MP3.pif
SETUP.EXE
Sex in Office.rm.scr
Shakira.zip.exe
StarWars2 - CloneAttack.rm.scr
the hardcore game-.pif

Jestliže je však zavirovaný e-mail vytvořen bez použití již existující zprávy, je příloha s virem pojmenována některým z těchto názvů:

body
data
doc
documen
t file
message
readme
test
text

Tento název je pak kombinován z některou z následujících koncovek:

BAT
COM
EXE
PIF
SCR

Pokud tedy na základě předchozích indicií získáte podezření, že vám přišel některý z těchto virů, bez váhání jej smažte. Bez aktuální virové databáze ve vašem antivirovém programu a záplatovaného systému se i při vší opatrnosti však již neobejdete.

Další možnosti šíření viru

Nový LoveGate se šíří nejen e-mailem, ale snaží se proniknout i do sítě pro sdílení obsahu Kazaa. Za tímto účelem se nakopíruje do sdíleného adresáře pod některým z níže vyjmenovaných názvů:


BlackIcePCPSetup_creak
HEROSOFT
orcard_original_creak
Passware5.3
rainbowcrack-1.1-win
REALONE
setup
W32Dasm
word_pass_creak
wrar320sc

Pro další šíření se vir pokouší dostat do sdílených adresářů na místní síti. Do nich se pak ukládá jako soubor s některým z těchto jmen:


3D Flash Animator.rar.bat
AAdobe Photoshop7.0 creak.pif
Adobe Photoshop6.0.zip.exe
autoexec.bat
Cain.pif
client.exe
CloneCD crack.exe
Documents and Settings.txt.exe
Download.exe
findpass.exe
HyperSnap-DX v4.51.01.exe
i386.exe
Internet Explorer.bat
Microsoft Office.exe
mmc.exe
MSDN.ZIP.pif
Panda Crack.zip.exe
Real-DRAW PRO v3.10.exe
Star Wars Downloader.exe
Support Tools.exe
SWF Browser2.93.txt.exe
Swish2.00.pif
Thank you.doc.exe
Windows Media Player.zip.exe
WindowsUpdate.pif
winhlp32.exe
WinRAR V3.2.0 Beta 2.exe
WinRAR.exe
WinZip v9.0 Beta Build 5480 crack.exe
xcopy.exe
You_Life.JPG.pif

Jako speciální úkol se LoveGate.ab pokouší proniknout i do vzdálených počítačů jako administrátor. Přitom zkouší použít několik desítek hesel. V případě, že se mu průnik povede, zkopíruje se do adresáře administrátora pod jménem NetManager.exe. Dále spustí službu „Windows Management NetWork Service Extensions“ a pokusí se vytvořit sdílený adresář „Media“ do nějž uloží několik svých kopií.

Další akce

Vir se nakopíruje do adresáře Windows pod názvem SysTra.exe a do jeho podadresáře System či System32 jako ravmond.exe, iexplore.exe, WinHelp.exe, kernel66.dll. V kořenovém adresáři pak zanechává vir mimo svých zabalených kopií i soubory Autorun.inf, netlog.txt a command.exe. První slouží k aktivaci viru, druhý je samotnou kopií viru a do třetího jsou shromažďovány různé informace o systému.

Tyto informace pak může získat útočník, který do zavirovaného počítače může proniknout prostřednictvím portu 6000. Ten je virem otevřen, aby sloužil jako zadní vrátka.

LoveGate.ab se také snaží najít všechny dostupné soubory s koncovkou EXE. U objevených koncovku přejmenuje na ZMX a uloží je jako skryté systémové soubory. To dělá jen proto, aby mohl převzít místo těchto souborů.

Nová verze LoveGate se také snaží znemožnit chod některých bezpečnostních programů tím, že se pokouší vypnou následující procesy:

Duba
Gate
KAV
kill
KV
McAfee
NAV
RavMon.exe
Rfw.exe
rising
SkyNet
Symantec

Pokud chcete virové nákaze předejít, musíte dodržovat určitá pravidla. Přečtěte si náš článek Deset pravidel pro účinnou antivirovou ochranu.

  • Nejčtenější

Rok od zkázy ponorky Titan. Vyplouvají děsivá zjištění i nové otázky

v diskusi je 96 příspěvků

20. června 2024  7:32

Před rokem, 18. června 2023, se v severním Atlantiku ztratila ponorka Titan společnosti Ocean Gate....

Ruské radary včasné výstrahy. Ani jim neprospívá válka proti Ukrajině

v diskusi je 108 příspěvků

17. června 2024

V předposledním květnovém týdnu ukrajinské drony zřejmě zasáhly ruské radarové stanice u měst...

{NADPIS}

{LABEL} {POPISEK}

Zamáčknete slzu? Windows se definitivně zbavuje tří typických aplikací

v diskusi je 7 příspěvků

19. června 2024

Premium Změna je život, řekli si možná v Microsoftu. V nadcházející aktualizaci systému Windows 11 24H2 se...

Hoffmann nechal vypnout rozhlas. Jako jeden z mála komunistů skončil ve vězení

v diskusi je 57 příspěvků

15. června 2024

Před 100 lety se narodil Karel Hoffmann, člen konzervativní kliky uvnitř KSČ, který během okupace v...

{NADPIS}

{LABEL} {POPISEK}

Možná jste ani netušili, že Microsoft Word umí tyto tři věci

v diskusi je 25 příspěvků

18. června 2024

Je těžké narazit na někoho, kdo by neznal Microsoft Word. Možná však bude stejně vzácné potkat...

Kabelka nemusí být jen vak na věci. Český prototyp zažene útočníka

v diskusi je 6 příspěvků

21. června 2024

Kabelka nemusí být pouhým vakem na věci, může plnit spoustu funkcí sama o sobě. S touto tezí vznikl...

Největším lákadlem Historical Airshow 2024 byl americký zavalitý stíhač

v diskusi nejsou příspěvky

21. června 2024

Mladoboleslavská Historical Airshow patří již dlouho mezi nejvýznamnější letecké dny v České...

Může to být tikající bomba, říká česká vědkyně o metanu ukrytém v ledovcích

v diskusi jsou 4 příspěvky

20. června 2024

Premium Co se dělo ve vnitrozemských vodách před tisíci lety? To se skrze analýzu sedimentů na dně jezer...

Rok od zkázy ponorky Titan. Vyplouvají děsivá zjištění i nové otázky

v diskusi je 96 příspěvků

20. června 2024  7:32

Před rokem, 18. června 2023, se v severním Atlantiku ztratila ponorka Titan společnosti Ocean Gate....

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Putine, běž do prd*le, zahlásil na koncertě Rod Stewart. Němci zpěváka vypískali

S překvapivou vlnou nevole se na svém nedělním koncertu v Lipsku setkal rockový král Rod Stewart. Během vystoupení se...

Skandál kolem morbidně obézní Miss Alabama. Co se ztratilo mezi řádky

Sociální sítě počátkem června rozvášnila obézní plus size modelka Sara Millikenová oceněná titulem Miss Alabama 2024....

Ostuda bratrů Bendigů v AZ-kvízu. Jan se vymlouval na trému z Mareše

Ve speciálním díle AZ-kvízu s názvem ČT art kvíz se proti sobě utkali bratři Jan a Marsell Bendigovi. V soutěži se jim...

Tvrz koupil za 76 tisíc a daroval ji manželce. Pak ruinu 20 let opravoval

Pavel David zahlédl v dubnu roku 2003 v novinách inzerát: „Prodám tvrz za 76 000 Kč.“ Ještě ten den si jel zříceninu...

Survivor 2024 má vítěze, ten si kromě titulu odnáší i výhru 2,5 milionu korun

Na platformě Voyo mohli diváci v úterý večer sledovat napínavé finále reality show Survivor Česko & Slovensko. Na Nově...