Sobota 4. února 2023, svátek má Jarmila
  • schránka
  • Přihlásit Můj účet
  • Sobota 4. února 2023 Jarmila

Nové virové nebezpečí. Braňte se!

Po dlouhé době dal o sobě znovu vědět virus LoveGate, který se například u firmy Network Associates propracoval až k verzi AB. Novinka umí odpovídat na e-maily a šíří se v místních i P2P sítích.
Další virové nebezpečí upoutalo společnosti, které se zabývají počítačovou bezpečností. Nová varianta viru LoveGate využívá ke svému šíření široké pole možností.

Nový virus LoveGate.ab (také LoveGate.ac, LoveGate.w, LoveGate.z) se šíří především prostřednictvím e-mailové pošty, ale pokouší se využít i P2P či místní sítě. Pokud úspěšně napadne počítačový systém, může být poměrně nebezpečný.

Identifikace viru

Jméno odesílatele je zfalšováno a může vycházet jednak z adres, které vir najde na počítači z něhož se odesílá, ale také z různých kombinací.

Mnohem zákeřnější je však při vytváření předmětu zprávy. Pokud totiž nevyužije některý z dále zmíněných textů, umí vytvářet odpovědi na došlé zprávy. V poli pro předmět zprávy se pak objeví „Re:“ a text předmětu zprávy, která na napadený počítač reálně dorazila.

Pokud tedy například na napadený počítač přišla zpráva z adresy redakce@technet.cz s předmětem „Varování před novým virem!“, může se klidně stát, že na tuto adresu dorazí zavirovaný e-mali s předmětem „Re: Varování před novým virem!“.

V případě, že tento systém pro zasílání odpovědí není virem využit, lze jako předmět zprávy očekávat některý z těchto výrazů:


Error
hello
hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status
test

Text samotného těla zprávy se pak také odvíjí podle toho, zda se jedná o odpověď na e-mail, nebo samostatně konstruovanou zprávu. V tom prvním případě je tělo zprávy složeno z několika částí. Nejdříve je jméno odesílatele původní zprávy, za kterým následuje výraz „wrote:

V další části je pak původní zpráva, po které následuje celá doména, z níž byl původní e-mail odeslán. Text zavirovaného e-mailu následně pokračuje slovy „auto-repaly:“ a tímto vloženým textem:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
>Get your FREE (doména původního e-mailu) account now! <.

Tělo zprávy tak v reálu může vypadat například takto:

redakce wrote:

>(zde by byl text zprávy, kterou zaslala redakce na adresu napadeného počítače)

technet.cz auto-replay:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
>Get your FREE technet.cz account now! <

Druhý případ, tedy ten, kdy se je celý e-mail vytvářen sám, pak nabízí v těle zprávy jednu z následujících možností:


It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
Mail failed. For further assistance, please contact!
pass
The message contains Unicode characters and has been sent as a binary attachment.

I samotná příloha je různá pro každý z tipů zavirované zprávy. V té, která je odpovědí na existující e-mail, naleznete některou z následujících jmén příloh:

Britney spears nude.exe.txt.exe
Deutsch BloodPatch!.exe
dreamweaver MX (crack).exe
DSL Modem Uncapper.rar.exe
How to Crack all gamez.exe
I am For u.doc.exe
Industry Giant II.exe
joke.pif
Macromedia Flash.scr
Me_nude.AVI.pif
s3msong.MP3.pif
SETUP.EXE
Sex in Office.rm.scr
Shakira.zip.exe
StarWars2 - CloneAttack.rm.scr
the hardcore game-.pif

Jestliže je však zavirovaný e-mail vytvořen bez použití již existující zprávy, je příloha s virem pojmenována některým z těchto názvů:

body
data
doc
documen
t file
message
readme
test
text

Tento název je pak kombinován z některou z následujících koncovek:

BAT
COM
EXE
PIF
SCR

Pokud tedy na základě předchozích indicií získáte podezření, že vám přišel některý z těchto virů, bez váhání jej smažte. Bez aktuální virové databáze ve vašem antivirovém programu a záplatovaného systému se i při vší opatrnosti však již neobejdete.

Další možnosti šíření viru

Nový LoveGate se šíří nejen e-mailem, ale snaží se proniknout i do sítě pro sdílení obsahu Kazaa. Za tímto účelem se nakopíruje do sdíleného adresáře pod některým z níže vyjmenovaných názvů:


BlackIcePCPSetup_creak
HEROSOFT
orcard_original_creak
Passware5.3
rainbowcrack-1.1-win
REALONE
setup
W32Dasm
word_pass_creak
wrar320sc

Pro další šíření se vir pokouší dostat do sdílených adresářů na místní síti. Do nich se pak ukládá jako soubor s některým z těchto jmen:


3D Flash Animator.rar.bat
AAdobe Photoshop7.0 creak.pif
Adobe Photoshop6.0.zip.exe
autoexec.bat
Cain.pif
client.exe
CloneCD crack.exe
Documents and Settings.txt.exe
Download.exe
findpass.exe
HyperSnap-DX v4.51.01.exe
i386.exe
Internet Explorer.bat
Microsoft Office.exe
mmc.exe
MSDN.ZIP.pif
Panda Crack.zip.exe
Real-DRAW PRO v3.10.exe
Star Wars Downloader.exe
Support Tools.exe
SWF Browser2.93.txt.exe
Swish2.00.pif
Thank you.doc.exe
Windows Media Player.zip.exe
WindowsUpdate.pif
winhlp32.exe
WinRAR V3.2.0 Beta 2.exe
WinRAR.exe
WinZip v9.0 Beta Build 5480 crack.exe
xcopy.exe
You_Life.JPG.pif

Jako speciální úkol se LoveGate.ab pokouší proniknout i do vzdálených počítačů jako administrátor. Přitom zkouší použít několik desítek hesel. V případě, že se mu průnik povede, zkopíruje se do adresáře administrátora pod jménem NetManager.exe. Dále spustí službu „Windows Management NetWork Service Extensions“ a pokusí se vytvořit sdílený adresář „Media“ do nějž uloží několik svých kopií.

Další akce

Vir se nakopíruje do adresáře Windows pod názvem SysTra.exe a do jeho podadresáře System či System32 jako ravmond.exe, iexplore.exe, WinHelp.exe, kernel66.dll. V kořenovém adresáři pak zanechává vir mimo svých zabalených kopií i soubory Autorun.inf, netlog.txt a command.exe. První slouží k aktivaci viru, druhý je samotnou kopií viru a do třetího jsou shromažďovány různé informace o systému.

Tyto informace pak může získat útočník, který do zavirovaného počítače může proniknout prostřednictvím portu 6000. Ten je virem otevřen, aby sloužil jako zadní vrátka.

LoveGate.ab se také snaží najít všechny dostupné soubory s koncovkou EXE. U objevených koncovku přejmenuje na ZMX a uloží je jako skryté systémové soubory. To dělá jen proto, aby mohl převzít místo těchto souborů.

Nová verze LoveGate se také snaží znemožnit chod některých bezpečnostních programů tím, že se pokouší vypnou následující procesy:

Duba
Gate
KAV
kill
KV
McAfee
NAV
RavMon.exe
Rfw.exe
rising
SkyNet
Symantec

Pokud chcete virové nákaze předejít, musíte dodržovat určitá pravidla. Přečtěte si náš článek Deset pravidel pro účinnou antivirovou ochranu.

  • Nejčtenější

Kometa, která se po 50 tisících letech vrací k Zemi, je vidět pouhým okem

Kometa s názvem C/2022 E3, či ZTF, se tento týden na své cestě Sluneční soustavou dostane k Zemi nejblíže. Pro...

ANALÝZA: Západní tanky mají ničení těch ruských v rodném listě

Ukrajinská armáda získá díky západní pomoci moderní tanky a obrněné transportéry standardů NATO. Zatímco na bojišti...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

A TOTO VÍTE? Proč mají letadlové lodě ostrov vpravo

Seriál Nad letovou palubu letadlové lodě ční takzvaný ostrov, na němž se ukrývá mimo jiné velitelská věž, navigační můstek a...

Kapitán letadla měl infarkt. Tragicky havarovalo v poli za Londýnem

Jednu z nejhorších leteckých katastrof zapříčinil infarkt kapitána letadla Trident společnosti British European...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

KVÍZ: Postavte se k tomu čelem. Letadla nikdy neomrzí

Úkolem následujícího kvízu je poznat typ letadla na fotografii z čelního pohledu. I když kvíz řada čtenářů magazínu...

Průlom sedmnáct let od vraždy. Kmotra Mrázka zastřelil vrah ze Slovenska

Premium Mrzlo. Ze dveří zámečku na pražské Lhotce vyšel kmotr podsvětí František Mrázek. Nájemný vrah ležící sto metrů daleko u...

Láska je evoluční finta, zamilovanost porucha emocí, říká psycholog Klimeš

Premium Láska je mocná emoce a bezesporu ta nejhezčí. A má hodně podob, které člověka nutí dělat různé věci. Mozkové okruhy...

Ruská lež je ohromná zbraň. Proč je Putin stále oblíbený, líčí reportér Karas

Premium Býval nejdéle sloužícím zahraničním zpravodajem České televize. V Polsku, v Rusku i na Ukrajině strávil Miroslav Karas...

Aplikace vám pomohou zorganizovat i užít si Vánoce

Vánoce mají být svátky klidu, ale nejdříve je třeba přežít předvánoční shon. Obě fáze vám mohou usnadnit speciální...

Proč se osobní počítač nazývá PC a ne Mac

PC je zkratka ze slov personal computer, tedy osobní počítač. Víte však, kdo je označován za toho, kdo s tímto termínem...

Ve Windows 11 se již brzy objeví těchto pět funkcí

Microsoft do operačního systému Windows 11 implementuje další sadu novinek. Kromě animovaných ikon a sekund v hodinách,...

Kdo stojí za vznikem nejpoužívanějších klávesových zkratek

Používají se denně a pro řadu uživatelů by jejich absence znamenala problém. Řeč je o nejužitečnějších klávesových...

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Prosázel a propil 7 milionů korun. Prodal jsem i Českého lva, říká Vondráček

Televizní reportér, novinář a režisér David Vondráček (59) prohrál za celý svůj život v hazardu sedm milionů korun....

Františka Ringo Čecha odvezli do nemocnice. Podle syna měl mrtvici

František Ringo Čech (79) byl v neděli večer podle zdrojů CNN Prima NEWS převezen do pražské Nemocnice Na Homolce....

Žena vypadá jako holčička, lidé zaměňují jejího manžela za tatínka

Třicetiletá Carolyn Fulltzová z USA už je trojnásobnou maminkou, ale stále vypadá jako malá holka. Její o tři roky...

Zemřela herečka Annie Werschingová, královna Borgů i Tess z The Last of Us

V pouhých pětačtyřiceti letech zemřela americká herečka Annie Werschingová. Televizní diváci ji znali jako agentku...

Janečková se po rakovině vrací do práce. Ukázala i fotky po mastektomii

Zpěvačka Patricia Janečková (24) si na sociálních sítích připomenula ne úplně příjemné výročí. Před rokem jí...