|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
I-Worm.Lovegate.F
Nach W32.Lovegate A und B, deren Vertreter kaum ITW =in the Wild (also tatsächlich in Umlauf) registriert wurden, ist die W32.Lovegate.F Variante dafür umso umtriebiger. Das 77kb grosse Virus befällt alle Windows32 Betriebssysteme.
Die neue Version des Lovegate-Wurms wurde am 24 Februar 2003 zuerst in den USA und England gesichtet von wo er sich sehr rasch verbreitete. Im wesentlichen besteht eine Gefährdung darin, dass das Virus eine mögliche Hackerattacke über einen offenen Port vorbereiten kann.
Wie seine „Vorgänger“ die A und B Variante verschickt sich Lovegate.F auch mit unterschiedlichen Betreffs, Mailtexten und Attachment Namen.
Mögliche Namen der Attachment sind dabei
Docs.exe
Roms.exe
Sex.exe
Setup.exe
Source.exe
_SetupB.exe
Pack.exe
LUPdate.exe
Patch.exe
CrkList.exe
es handelt sich dabei jedoch immer um EXE Dateien.
Auch der Betreff variiert und kann unterschiedliche Formen annehmen:
Documents
Roms
Pr0n!
Evaluation copy
Help
Beta
Do not release
Last Update
The patch
Cracks!
Und last but not least ändert das Virus auch noch seinen Body also seinen Mailtext:
Send me your comments...
Test this ROM! IT ROCKS!.
Adult content!!! Use with parental advisory.
Test it 30 days for free.
I'm going crazy... please try to find the bug!.
Send reply if you want to be official beta tester.
This is the pack ;)
This is the last cumulative update.
I think all will work fine.
Check our list and mail your requests!
Im Gegensatz zur A und B Variante verfügt die F Variante über keine Key-Logging Funktionalität mehr. Dafür ist sie jedoch in der Lage in Windows-Shares nach Passwörtern zu suchen. Seine Backdoor-Funktion ist wiederum gleichgeblieben. Sogar der Port (10168) hat sich nicht verändert. Schwer vorstellbar aber auch die eMail Adressen an die das Virus Informationen über infizierte Systeme verschickt sind gleich geblieben:
hello_dll@163.com hacker117@163.com
State of die Art nutzt der Wurm eine eigene SMTP Engine und verbindet sich damit auf den smtp.163.com Host um seine Nachrichten zu versenden.
Wurde das Attachment durch einen Doppelklick aktiviert kopiert sich der Wurm überies in alle Dateien die in den Verzeichnissen sowie Unterverzeichnissen mit den Namen:
fun.exe
humor.exe
docs.exe
s3msong.exe
midsong.exe
billgt.exe
Card.EXE
SETUP.EXE
searchURL.exe
tamagotxi.exe
hamster.exe
news_doc.exe
PsPGame.exe
joke.exe
images.exe
pics.exe
WinGate.exe
WinRpcsrv.exe
syshelp.exe
winprc.exe
rpcsrv.exe
auf dem befallenen PC gefunden werden. Ein Aufruf einer dieser Dateien führt somit unweigerlich wieder zur Infektion. Damit jedoch noch nicht genug. Mit dem obligaten Registryeintrag wird eine Aktivierung des Wurms beim Rechnerneustart sichergestellt.
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinGate initialize" = "%winsysdir%WinGate.exe -remoteshell" "syshelp" = "%winsysdir%syshelp.exe" "Module Call initialize" = "rundll32.exe reg.dll ondll_reg"
Tip vom Virendoktor:
Wir empfehlen mit Nachdruck keine Attachments mit der Endung EXE zu starten, von denen nicht sicher gestellt ist, welche Aktionen sie tatsächlich auslösen.
Stehen Sie JEDEM ausführbaren Dateianhang kritisch gegenüber! Löschen Sie Attachments im Zweifelsfall. Starten Sie keine Attachments ohne diese vorher auf Viren geprüft zu haben.
Aktivieren Sie wenn möglich einen eMail Filter, der Attachments, die Executables enthalten, abblockt bzw. in eigens dafür vorgesehene Quarantänebereiche stellt.
Ein Update Ihres Virenschutzprogammes ist empfehlenswert.
|
|
Linktipps: BH Größe
|
|
|
|
