První letošní vir Lirva krade hesla a vyřazuje z provozu antiviry

  0:01aktualizováno  0:01
Tvůrci virů nabrali sil do nového roku a již je zde první přírůstek do galerie virů, který zkomplikuje život nejednomu uživateli. Čím se vir vyznačuje a jak vám může zkomplikovat život?

Objevil se další z dlouhé řady tzv. „mass-mailing“ červů. Dostal jméno Livra (nebo také Naith či Avril).

Lirva je do značné míry typický e-mailový červ. Kromě e-mailu se dokáže šířit také pomocí ICQ, IRC a P2P sítě KaZaa. Kromě toho obsahuje také rutinu pro kradení hesel (Password-Stealer) a snaží se „zabíjet“ procesy některých antivirových a bezpečnostních programů.

Pro vyhledávání e-mailových adres dalších potencionálních obětí červ používá širokou paletu funkcí. V Outlooku prohledává „Sent Items“ a „Inbox“, zneužívá Windows Address Book (WAB) a na lokálním disku prohledává další soubory s příponami .DBX, .EML, .HTM, .HTML, .IDX, .MBX, .NCH, .SHTML, .TBB a .WAB.

Předmět infikovaného e-mailu je náhodně volen z následujícího seznamu:
Fw: Avril Lavigne - the best
Fw: Prohibited customers...
Fwd: Re: Admission procedure
Fwd: Re: Reply on account for Incorrect MIME-header
Re: According to Daos Summit
Re: ACTR/ACCELS Transcriptions
Re: Brigade Ocho Free membership
Re: Reply on account for IFRAME-Security breach
Re: Reply on account for IIS-Security
Re: The real estate plunger

E-mail může také obsahovat známou bezpečnostní díru (MIME exploit), která může způsobit spuštění přiloženého souboru při jeho otevření.

Červ se snaží o svoje rozeslání pomocí ICQ a mIRC klienta, jehož nastavení modifikuje prostřednictvím jeho boot skriptů.

Pokud je červ v systému aktivní, snaží se o ukončování procesů některých bezpečnostních programů. Procesy rozlišuje na základě jejich jmen. Současně také monitoruje názvy (titlebar) otevíraných oken, a pokud název obsahuje některý z definovaných textových řetězců, snaží se okno zavřít.

Do systému se kopíruje pod náhodným jménem (např: A33AAAAgbab.EXE) do adresáře C:\WINDOWS\SYSTEM32. Do systémových registrů červ pro tento soubor přidává klíč, který zajišťuje jeho spuštění během startu systému. Další klíč používá jako příznak infekce.

Kromě toho kopíruje pod náhodným jménem svoje další čtyři exempláře do Odpadkového koše Windows (RECYCLED) a pro jeden z nich přidává odkaz do souboru AUTOEXEC.BAT. Další soubor umisťuje do adresáře C:\WINDOWS\TEMP. Do stejného adresáře ukládá soubor „avril-ii.inf“, který obsahuje vzkaz od jeho autora.

První letošní vir Lirva krade hesla a vyřazuje z provozu antiviry

K odesílání infikovaných e-mailů červ využívá vlastní SMTP engine, s jehož pomocí se také snaží o odesílání hesel z infikovaného systému svému autorovi.

Činnost červa se projevuje tak, že po svém spuštění zobrazuje v internetovém prohlížeči (default browser) webovou stránku Avril Lavigne (http://www.avril-lavigne.com) a v levém horním rohu text: AVRIL_LAVIGNE_LET_GO-MY_MUSE:) 2002 (c). Na pracovní ploše může vykreslovat barevné geometrické obrazce, které její obsah překrývají. 

Článek vznikl ve spolupráci se společností AEC. Na jejích stránkách naleznete rovněž více informací o viru. 

 

Nejčtenější

Sexuálně nejvýkonnější vyzvědače přebrali československé rozvědce Sověti

Býval agent československé rozvědky v USA Karel Köcher

Československým komunistickým rozvědčíkům se ve špionáži proti Spojeným státům dlouho nedařilo. Nakonec ale zaznamenali...

Jednosměrná letenka na rudou planetu se odkládá. Mars One krachuje

Ilustrace základny na Marsu, jak si ji představují v organizaci Mars One...

Firma Mars One, která slibovala soukromý let na Mars už v roce 2024, zkrachovala. Plány dostat na Mars lidské obyvatele...

Našel na půdě 35 let starý Apple II, zapnul ho a dohrál uloženou hru

Spoustu let ležel na půdě, po zapnutí funguje „jako zamlada“.

Newyorský učitel našel u rodičů na půdě starý počítač Apple II. Zkusil ho zapnout a překvapivě mohl pokračovat ve hře,...

Lokální předpověď počasí se razantně zpřesní, možná pomáhá i váš telefon

GRAF

Nejpřesnější lokální předpovědi počasí dnes nabízejí aplikace v našich telefonech - i proto, že s nimi samy pomáhají....

V Perském zálivu spustili největší baterii světa. Virtuální a bez lithia

Sodíko-sírové bateriové systémy japonské firmy NGK. Systém, který se vejde do...

Ve Spojených arabských emirátech byla připojena do sítě největší „virtuální“ baterie světa s obřím výkonem a úctyhodnou...

Další z rubriky

Vyzkoušejte multifunkční designové hodiny pro Windows

Ilustrační foto - hodiny

Hodiny jako spořič monitoru, nebo zobrazující aktuální stav počasí. Podívejte se po netradičních a designových...

Tipy pro Windows 10: objevte nové funkce velké aktualizace

Windows 10

Po původním pozdržení se již několik týdnů na počítače s Windows dostávají postupně výzvy k přechodu na nejnovější...

Nekupujte náš nový Office 2019, prosí Microsoft. Ukazuje to na dvojčatech

Kampaň Microsoftu s dvojčaty ukazuje rozdíl mezi Office 2019 a Office 365....

Microsoft vytvořil sérii videí, ve kterých ukazuje nevýhody nového produktu. Poněkud překvapivé je, že je to jejich...

Najdete na iDNES.cz