První letošní vir Lirva krade hesla a vyřazuje z provozu antiviry

  0:01
Tvůrci virů nabrali sil do nového roku a již je zde první přírůstek do galerie virů, který zkomplikuje život nejednomu uživateli. Čím se vir vyznačuje a jak vám může zkomplikovat život?

Objevil se další z dlouhé řady tzv. „mass-mailing“ červů. Dostal jméno Livra (nebo také Naith či Avril).

Lirva je do značné míry typický e-mailový červ. Kromě e-mailu se dokáže šířit také pomocí ICQ, IRC a P2P sítě KaZaa. Kromě toho obsahuje také rutinu pro kradení hesel (Password-Stealer) a snaží se „zabíjet“ procesy některých antivirových a bezpečnostních programů.

Pro vyhledávání e-mailových adres dalších potencionálních obětí červ používá širokou paletu funkcí. V Outlooku prohledává „Sent Items“ a „Inbox“, zneužívá Windows Address Book (WAB) a na lokálním disku prohledává další soubory s příponami .DBX, .EML, .HTM, .HTML, .IDX, .MBX, .NCH, .SHTML, .TBB a .WAB.

Předmět infikovaného e-mailu je náhodně volen z následujícího seznamu:
Fw: Avril Lavigne - the best
Fw: Prohibited customers...
Fwd: Re: Admission procedure
Fwd: Re: Reply on account for Incorrect MIME-header
Re: According to Daos Summit
Re: ACTR/ACCELS Transcriptions
Re: Brigade Ocho Free membership
Re: Reply on account for IFRAME-Security breach
Re: Reply on account for IIS-Security
Re: The real estate plunger

E-mail může také obsahovat známou bezpečnostní díru (MIME exploit), která může způsobit spuštění přiloženého souboru při jeho otevření.

Červ se snaží o svoje rozeslání pomocí ICQ a mIRC klienta, jehož nastavení modifikuje prostřednictvím jeho boot skriptů.

Pokud je červ v systému aktivní, snaží se o ukončování procesů některých bezpečnostních programů. Procesy rozlišuje na základě jejich jmen. Současně také monitoruje názvy (titlebar) otevíraných oken, a pokud název obsahuje některý z definovaných textových řetězců, snaží se okno zavřít.

Do systému se kopíruje pod náhodným jménem (např: A33AAAAgbab.EXE) do adresáře C:\WINDOWS\SYSTEM32. Do systémových registrů červ pro tento soubor přidává klíč, který zajišťuje jeho spuštění během startu systému. Další klíč používá jako příznak infekce.

Kromě toho kopíruje pod náhodným jménem svoje další čtyři exempláře do Odpadkového koše Windows (RECYCLED) a pro jeden z nich přidává odkaz do souboru AUTOEXEC.BAT. Další soubor umisťuje do adresáře C:\WINDOWS\TEMP. Do stejného adresáře ukládá soubor „avril-ii.inf“, který obsahuje vzkaz od jeho autora.

První letošní vir Lirva krade hesla a vyřazuje z provozu antiviry

K odesílání infikovaných e-mailů červ využívá vlastní SMTP engine, s jehož pomocí se také snaží o odesílání hesel z infikovaného systému svému autorovi.

Činnost červa se projevuje tak, že po svém spuštění zobrazuje v internetovém prohlížeči (default browser) webovou stránku Avril Lavigne (http://www.avril-lavigne.com) a v levém horním rohu text: AVRIL_LAVIGNE_LET_GO-MY_MUSE:) 2002 (c). Na pracovní ploše může vykreslovat barevné geometrické obrazce, které její obsah překrývají. 

Článek vznikl ve spolupráci se společností AEC. Na jejích stránkách naleznete rovněž více informací o viru. 

  • Nejčtenější

Vyplatilo se Němcům opustit jádro? Studie odhaluje překvapivé zjištění

Norská studie dokazuje, že masivní investice do obnovitelných zdrojů energie přinesly Německu v posledních 20 letech mnohem menší redukci emisí skleníkových plynů, než jakou by zajistily za výrazně...

3. října 2024

Písničky i posluchače zařídila AI, on mezitím inkasoval miliony. Teď ho čeká soud

Je to asi první případ svého druhu, kdy někdo půjde před soud za to, že zneužil díla vytvořená umělou inteligencí. Poměrně sofistikovaným podvodem si totiž jeden hudebník přišel během několika let na...

27. září 2024

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Parní lokomotiva, která nikdy nemohla přijet uhlím napřed

Vedle parních lokomotiv „obyčejné“ konstrukce vznikaly také parní lokomotivy méně obvyklé, až vyloženě neortodoxní, kam patří i stroje systému Fairlie. Obousměrné lokomotivy Fairlie vypadají na první...

30. září 2024

Opravdu byste se před T. rexem neschovali ani v autě?

Za poslední čtvrtstoletí se objevilo několik studií, které přišly s odhady konkrétní síly a tlaku, jimiž dokázal Tyrannosaurus rex působit na svoji kořist. Výsledky různých výzkumů se značně liší v...

29. září 2024

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Bojová technika se roztavila. Jak Sověti testovali jaderné zbraně na civilistech

Premium

Stalo se před 70 lety. Sovětský svaz v rámci tajného projektu vývoje jaderných zbraní provedl pokus, při němž si na svých vlastních lidech – civilistech i vojácích – testoval, co nukleární výbuch umí...

28. září 2024

Všestranný laptop se silou AI. Asus má stylovou a praktickou novinku

Advertorial

Taková kombinace vlastností se u notebooků jen tak nevidí. Nový ASUS Zenbook S 14 je laptop se špičkovým designem a zpracováním, parádním displejem, nízkou hmotností a přitom vysokým výkonem i...

4. října 2024

Poznáte letadla podle charakteristických detailů?

Kvíz, byť nevelký, má široký záběr, který prověří všeobecný rozhled v rozpoznávání letadel. Nejstarší stroj je z první světové války, ale najdeme i typ nalézající se dnes v aktivní službě. A přijde i...

vydáno 4. října 2024

Úřady pozastavily lety rakety SpaceX kvůli problému při misi s posádkou

Společnost SpaceX musí vyšetřit problém druhého stupně nosiče Falcon 9, který se projevil při misi Crew-9. Při ní stroj vynesl pilotovanou loď Crew Dragon, která později podle plánů přistála u ISS....

3. října 2024  16:42

Vyplatilo se Němcům opustit jádro? Studie odhaluje překvapivé zjištění

Norská studie dokazuje, že masivní investice do obnovitelných zdrojů energie přinesly Německu v posledních 20 letech mnohem menší redukci emisí skleníkových plynů, než jakou by zajistily za výrazně...

3. října 2024

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!

Škoda odhalila nový elektromobil Elroq na Vltavě, ceny startují na 800 tisících

Škoda představila v Praze, v reprezentativní budově Občanské plovárny, svůj nový elektromobil. Model Elroq je od...

Konec platebních karet? Bankám vadí jejich monopol, pracují na alternativě

Premium Evropské banky se již nějakou dobu snaží vyšachovat ze hry bezmála monopolní poskytovatele platebních karet – firmy...

Vyplatilo se Němcům opustit jádro? Studie odhaluje překvapivé zjištění

Norská studie dokazuje, že masivní investice do obnovitelných zdrojů energie přinesly Německu v posledních 20 letech...

Horší než nejčernější scénář. Převézt zboží nešlo, říká majitel vyplavené firmy

Jeseníkem se prohnala velká voda, smetla většinu města, nešetřila domy ani firmy. Malé říčky Bělá a Staříč způsobily...

Sexy studentka je novou hvězdou Playboye. Nafotil ji SuperStar Miro Šmajda

V létě vyhrála soutěž Hledáme Playmate 2024 a už má za sebou focení pro Playboy. Studentka Sandra Taškovičová (19) z...