Belföld

Terjed a Lovegate – új féreg a világhálón

Az új féreg Kínából indult pusztító útjára, Lovgate.C nevű változata gyorsan terjed egész Ázsiában. (Névváltozatok: I-worm.Supnot) A C++ nyelven íródott, ASPack módszerrel tömörített programkódot tartalmazó kártevő kétféle terjedési módszert alkalmaz és beépített hátsóajtó komponenssel is rendelkezik.

A Lovegate féreg elkapható fertőzött e-mail üzenet megnyitásával, de belső hálózatokon keresztül, a Windows alatt megosztott mappákban is terjed. Ebben az esetben különféle fájlnevek alatt helyezi el saját példányait: Fun.exe, humor.exe, docs.exe, s3msong.exe, midsong.exe, billgt.exe, Card.EXE, SETUP.EXE, searchURL.exe, tamagotxi.exe, hamster.exe, news_doc.exe, PsPGame.exe, joke.exe, images.exe, pics.exe

A fertőzött levelek ilyen vagy hasonló témájúak lehetnek:

• Subject: Documents
Body: Send me your comments…

• Subject: Roms
Body: Test this ROM! IT ROCKS!.

• Subject: Pr0n!
Body: Adult content!!! Use with parental advisory.

• Subject: Evaluation copy
Body: Test it 30 days for free.

• Subject: Help
Body: I’m going crazy… please try to find the bug!

• Subject: Beta
Body: Send reply if you want to be official beta tester.

• Subject: Do not release
Body: This is the pack ;)

• Subject: Last Update
Body: This is the last cumulative update.

• Subject: The patch
Body: I think all will work fine.

• Subject: Cracks!
Body: Check our list and mail your requests!

Amikor a Lovegate megfertőz egy gépet, különféle fájlnevek alatt menti el egy-egy példányát a Windows rendszerkönyvtárába: WinGate.exe, WinRpcsrv.exe, syshelp.exe, winprc.exe, rpcsrv.exe

Ezeknek a fájloknak a futtatásáról az alábbi registry-bejegyzések gondoskodnak:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun] alatt
“WinGate initialize” = “%winsysdir%WinGate.exe -remoteshell”
“Syshelp” = “%winsysdir%syshelp.exe”
“Module Call initialize” = “rundll32.exe reg.dll ondll_reg”
(A ‘%winsysdir%’ változó itt a Window rendszerkönyvtárra utal.)

A féreg létrehoz még egy további registry-bejegyzést is, amelynek értéke:
[HKEY_CLASSES_ROOTtxtfileshellopencommand]@ = %winsysdir%winprc.exe “%1”

Ennek a beállításnak a hatására fertőzött gépen a féreg bármely szöveges állomány megtekintésekor lefut, bár ezt a felhasználó többnyire nem veszi észre, hiszen a Lovgate a Notepad alkalmazást hívja a TXT fájlok megjelenítéséhez.

A Lovgate ezen kívül Windows 9x/Me operációs rendszerű gépek esetén a konfigurációs állományok módosításával is igyekszik biztosítani saját lefuttatását, a WIN.INI fájlban a [Windows] rész alatt létrehoz egy új sort, ezzel a szöveggel: Run=rpcsrv.exe

Ezek után a féreg a Windows rendszerkönyvtárba menti károkozó rutinját, amelyet az alábbi fájlok hordoznak: ily.dll, task.dll, reg.dll. Ezek a programrészletek képesek a billentyűzeten begépelt adatok mentésére (ún. keylogger funkció), fájlokban is kutatnak jelszavak után. Az így összegyűjtött adatokat a féreg a win32pwd.sys és a win32add.sys állományokban tárolja, majd elektronikus levelezés (SMTP) vagy trójai program üzemmódban eljuttatja a féreg írójának, a vagy a címre.

A trójai üzemmód port száma 10168 TCP, míg a féreg saját e-mail küldő rutinja által használt levelezőszerver címe . Ez a mailserver egy hírhedt SPAM (kéretlen reklámlevél)- küldéssel foglalkozó kínai portálhoz tartozik.

Végül a Lovgate féreg további sikeres terjedése érdekében megkísérel automatikusan egy fertőzött üzenet küldésével válaszolni minden beérkező levélre. Ehhez a funkcióhoz az Office Outlook programot használja fel, azonban az ezzel kapcsolatos féregkód-részlet hibásnak tűnik, így az nem minden esetben hajtódik végre. A féreg átnézi még a hypertext formátumú (.ht* kiterjesztésű) állományokat is, további levélcímek után kutatva.

Címkék: archívum

Ajánlott videó mutasd mind

Ha kommentelni, beszélgetni, vitatkozni szeretnél, vagy csak megosztanád a véleményedet másokkal, a 24.hu Facebook-oldalán teheted meg. Ha bővebben olvasnál az okokról, itt találsz válaszokat.

Nézd meg a legfrissebb cikkeinket a címlapon!
24-logo

Engedélyezi, hogy a 24.hu értesítéseket
küldjön Önnek a kiemelt hírekről?
Az értesítések bármikor kikapcsolhatók
a böngésző beállításaiban.