Lovgate: jelszavak után kutat az új féreg
[ Vírus Híradó ] Az új féreg Kínából indult útjára; a február 24-én felfedezett legutóbbi, Lovgate.C nevű változata gyorsan terjed szerte Ázsiában. A C++ nyelven íródott, ASPack módszerrel tömörített programkódot tartalmazó kártevő kétféle terjedési módszert alkalmaz és beépített hátsóajtó komponenssel is rendelkezik.
A Lovegate féreg aktiválható fertőzött e-mail üzenet megnyitásával, de belső hálózatokon keresztül, a Windows alatt megosztott mappákban is terjed. Ebben az esetben különféle fájlnevek alatt helyezi el saját példányait: Fun.exe, humor.exe, docs.exe, s3msong.exe, midsong.exe, billgt.exe, Card.EXE, SETUP.EXE, searchURL.exe, tamagotxi.exe, hamster.exe, news_doc.exe, PsPGame.exe, joke.exe, images.exe, pics.exe.
Az .exe kiterjesztésű csatolt állománnyal érkező fertőzött levelek az alábbi (vagy ezekhez hasonló) szövegeket tartalmazzák:
Téma: Documents Üzenet: Send me your comments... Téma: Roms Üzenet: Test this ROM! IT ROCKS!. Téma: Pr0n! Üzenet: Adult content!!! Use with parental advisory. Téma: Evaluation copy Üzenet: Test it 30 days for free. Téma: Help Üzenet: I'm going crazy... please try to find the bug! Téma: Beta Üzenet: Send reply if you want to be official beta tester. Téma: Do not release Üzenet: This is the pack ;) Téma: Last Update Üzenet: This is the last cumulative update. Téma: The patch Üzenet: I think all will work fine. Téma: Cracks! Üzenet: Check our list and mail your requests!
Amikor a Lovegate megfertőz egy gépet, különféle fájlnevek alatt menti el egy-egy példányát a Windows rendszerkönyvtárába, majd a regisztrációs adatbázisba írva gondoskodik e fájlok automatikus futtatásáról. A féreg létrehoz egy további bejegyzést is, aminek hatására a fertőzött gépen bármely szöveges állomány megtekintésekor lefut.
Ezek után a féreg a Windows rendszerkönyvtárba menti károkozó rutinját, amelyet az alábbi fájlok hordoznak: ily.dll, task.dll, reg.dll. Ezek a programrészletek képesek a billentyűzeten begépelt adatok mentésére (ún. keylogger funkció), valamint fájlokban is kutatnak jelszavak után. Az így összegyűjtött adatokat a féreg a win32pwd.sys és a win32add.sys állományokban tárolja, majd elektronikus levelezés (SMTP) vagy trójai program üzemmódban eljuttatja a féreg írójának.
Végül a Lovgate féreg további sikeres terjedése érdekében megkísérel automatikusan egy fertőzött üzenet küldésével válaszolni minden beérkező levélre. Ehhez a funkcióhoz az Office Outlook programot használja fel, azonban az ezzel kapcsolatos féregkód-részlet hibásnak tűnik, így az nem minden esetben hajtódik végre. A féreg átnézi még a hypertext formátumú (.ht* kiterjesztésű) állományokat is, további levélcímek után kutatva.