Червь Lovgate ворует данные с зараженного компьютера

В сети обнаружен новый вирус-червь Lovgate, который также известен как Supnot. Червь распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам, и по локальной сети. Также устанавливает в систему программу-шпиона. В настоящий момент известно несколько версий червя, которые отличиются друг от друга незначительными деталями.

Lovgate является приложением Windows (PE EXE-файл), написан на Microsoft Visual C++, упакован утилитой AsPack, имеет размер: «Lovgate.a»: около 85K, «Lovgate.b»: около 77K, «Lovgate.c»: около 79K.

В письмах червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). При заражении сети червь просто копирует себя в каталоги сети, а также пытается автоматически запустить свою копию (под WinNT). При запуске зараженного файла червь инсталлирует себя в систему и запускает процедуры своего
распространения.

Зараженные письма рассылаются двумя способами.

1. Червь ищет «*.ht*»-файлы в текущем каталоге, в каталоге Windows и в каталоге «My Documents», выделяет из них строки, являющиеся адресами электронной почты и рассылает по этим адресами зараженные письма. При отсылке писем червь использует прямое подключение к SMTP-серверу
(указанному в настройках системы или подключается к серверу smtp.163.com).

2. Червь использует функции Windows MAPI и «отвечает» на письма, обнаруженные в почтовом ящике.

«Ответ» червя следующий:

Червь запускает бекдор-процедуру, используя метод IPC (Interprocess Communication) — червь открывает сетевое соединение (pipe) и запускает на зараженной машине командный процессор CMD.EXE (под WinNT) или COMMAND.COM (под Win9x). В результате удаленный «хозяин» червя получает доступ к ресурсам зараженного компьютера.

Процедуры защиты от данной вредоносной программы уже добавлены в базу данных Антивируса Касперского. Более подробные сведения о черве Lovgate доступны в Вирусной Энциклопедии Касперского.