Lovgate-orm installerer bakdør på PC-er

Det advares mot en ny variant av Lovgate-ormen, som installerer bakdører på smittede PC-er.

Det advares mot en ny variant av Lovgate-ormen, som installerer bakdører på smittede PC-er.

En ny orm, døpt Lovgate.B, Lovgate.C, Lovegate og så videre, dukket opp flere steder verden over mandag. På døgnstatistikken til MessageLabs lå den tirsdag morgen på en forholdsvis beskjeden andre plass, med 5312 tilfeller mot 13.884 for den evige eneren Klez.H, og så vidt foran Sobig og Yaha. På den norske døgnstatistikken Virusfree.no fra Itegra, var andreplassen enda mer beskjeden: 67 tilfeller mot 249 for Klez.H.

Alle de store virusvernerne var raskt ute med antistoff, og de som er tilkoplet online oppdateringstjenester fikk sine vaksiner få timer etter at de første tilfellene ble oppdaget mandag morgen norsk tid.

Lovgate.C (det later til å være den mest utbredte betegnelsen) har sin egen e-postmotor, og sprer seg ved å svare på e-post i offerets Outlook- eller Outlook Express-innboks. Det smittende vedlegget er på 78.848 bytes og har vist seg under disse filnavnene: billgt.exe, Card.EXE, docs.exe, fun.exe, hamster.exe, humor.exe, images.exe, joke.exe, midsong.exe, news_doc.exe, pics.exe, PsPGame.exe, s3msong.exe, searchURL.exe, SETUP.EXE og tamagotxi.exe. E-posten som offeret mottar, ser ut som et svar fra en kontakt, og har de typiske tekstene (”Få ditt gratisdomene nå”, ”Se på vedlegget og fortell meg hva du synes”) for å lure offeret til å åpne vedlegget.

Vedlegget installerer en bakdør, altså et program som gjør det mulig for opphavet til ormen å kjøre vilkårlige programmer og kommandoer på offerets PC, via TCP port 10168. Andre skadevirkninger er mindre kartlagt, men kan omfatte evnen til å spre gjennom delte kataloger, og til å høste lokale passord og sende dem tilbake til ormens opphav.

Skadevirkningen er jevnt over karakterisert som lav til middels, og smittefaren er middels.

Til toppen