Virus Lovgate B

Na netu “hara” nov virus, bojte se ga in si poažurirajte AV programe.
To je samo oobvestilo, ne pa opozorilo.
Rajši to napišem, kot pa da zjutraj beremo v stilu Imam virus kaj sedaj..

lp

Lovgate.B:

Lovgate je črv, ki se širi preko elektronske pošte in skupne rabe datotek ter vsebuje stranska vrata (backdoor).

Poleg širjenja preko skupne rabe tudi krade uporabniška gesla. Vsebovana ima stranska vrata, ki poslušajo na TCP portu 10168 ter omogočajo izvajanje ukazov na okuženem računalniku. Podatke pošilja na naslova:

[email protected]
[email protected]
Za pošiljanje sporočil se poveže na strežnik smtp.163.com, ki se nahaja na Kitajskem.

Koda črva je stisnjena s programom ASPack.

Črv se kopira v datoteke z imeni kot so:

fun.exe
humor.exe
docs.exe
s3msong.exe
midsong.exe
billgt.exe
Card.EXE
SETUP.EXE
searchURL.exe
tamagotxi.exe
hamster.exe
news_doc.exe
PsPGame.exe
joke.exe
images.exe
pics.exe

Vse pritisnjene tipke beleži in shranjuje v datoteki:

win32pwd.sys
win32add.sys
V mapo WINDOWS SYSTEM se shrani pod naslednjimi imeni:

WinGate.exe
WinRpcsrv.exe
syshelp.exe
winprc.exe
rpcsrv.exe
V registru doda ukaze za zagon:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“WinGate initialize” = “%winsysdir%WinGate.exe -remoteshell”
“syshelp” = “%winsysdir%syshelp.exe”
“Module Call initialize” = “rundll32.exe reg.dll ondll_reg”

Pri tem je ‘%winsysdir%’ Windows sistemski imenik. Prav tako postavi ključ v registru:

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@ = %winsysdir%\winprc.exe “%1”

To pomeni, da se črv aktivira ob vsakem odpiranju tekstovnih datotek. Ob zagonu odpre tudi Notepad, tako da uporabnik ne opazi spremembe.

V win.ini doda vnos:

[Windows]
Run=rpcsrv.exe

Lovgate tudi shrani različne dll datoteke, ki jih uporablja za beleženje tipk in pošiljanje:

%winsysdir%\ily.dll
%winsysdir%\task.dll
%winsysdir%\reg.dll

Lovgate.C:

Lovgate.C je nova verzija črva, ki ima popravljene nekatere napake iz prejšnje verzije. Ta verzija še vedno vsebuje stranska vrata, ne vsebuje pa dveh DLL-ov ki jih je imela prejšnja verzija. Izgleda, da je bilo odstranjeno beleženje tipk.

Črv uporablja enaka imena datotek. Imena pripon v sporočilih so lahko:

Docs.exe
Roms.exe
Sex.exe
Setup.exe
Source.exe
_SetupB.exe
Pack.exe
LUPdate.exe
Patch.exe
CrkList.exe
Zadeve sporočil so lahko:

Documents
Roms
Pr0n!
Evaluation copy
Help
Beta
Do not release
Last Update
The patch
Cracks!
Vsebina sporočil je:

Send me your comments…
Test this ROM! IT ROCKS!.
Adult content!!! Use with parental advisory.
Test it 30 days for free.
I’m going crazy… please try to find the bug!.
Send reply if you want to be official beta tester.
This is the pack 😉
This is the last cumulative update.
I think all will work fine.
Check our list and mail your requests!

Klemen hvala za obvestilo kako se ga pa znebimo ? seveda v preventivo sprašujem…ali obstaja že orodje?? Na norton zasledi?

seveda orodja že obstajajo.
npr. Norton ga pozna, pa tudi ostali AV sitemi ga poznajo, tako da …

lp