Lovgate, una famiglia di virus con backdoor

7 marzo 2003 Una famiglia di virus deriva dalle leggere alterazioni che i programmatori apportano al codice originario di qualche forma, di solito scelta per la sua “efficienza” nel diffondersi. Lovgate nella sua forma originaria è un virus noto sin da …

7 marzo 2003 Una famiglia di virus deriva dalle leggere alterazioni che i programmatori apportano al codice originario di qualche forma, di solito scelta per la sua “efficienza” nel diffondersi. Lovgate nella sua forma originaria è un virus noto sin dal 19 febbraio, piuttosto diffuso, ma proprio in questi giorni si sono presentate due nuove varianti, definite Lovgate.C (o Supnot.b) e Lovgate.D (Supnot.d), che hanno goduto anch’esse di una rapida diffusione.

Sebbene le singole varianti di questo virus non risultino avere colpito un numero particolarmente elevato di utenti, la somma delle segnalazioni di infezioni pervenute ai centri di ricerche dei produttori di antivirus per le diverse specie è tra le più elevate tra tutti i virus degli ultimi mesi.

Una caratteristica di questo tipo di Worm, che arriva per posta elettronica, è la sua capacità di funzionare anche come “backdoor”. Questo termine significa che il virus apre una porta di comunicazione di rete verso il mondo esterno (da qui l’espressione “porta sul retro”). A seconda della specie, possono essere aperte le porte di comunicazione 10168 e/o 1192. Ciò significa che dall’esterno, via Internet o rete locale, l’autore del virus, o chiunque altro sappia come entrare da queste porte, può virtualmente accedere a dati riservati sui computer infetti, senza che l’utente del sistema infetto si accorga di nulla. L’hacker che acceda tramite la backdoor offerta da Lovgate al sistema infetto può controllarlo da Shell come se fosse seduto davanti alla sua tastiera.

Il virus usa un motore Smtp interno per spedire copie di se stesso a tutti i contatti reperiti sul computer ospite, leggendo gli indirizzi dalla Rubrica di Windows e dai file presenti sui dischi locali. Il codice del virus prepara i messaggi da spedire in modo variabile sia nel testo che nei contenuti, usando un database interno di messaggi e soggetti in lingua inglese. Anche il nome del file allegato è variabile, ma si tratta in ogni caso di un file di programma con suffisso .Exe. (Source.Exe, Setup.exe, Roms.exe, Docs.Exe e così via). La lunghezza dell’allegato, che contiene il virus, oscilla tra i 41 e i 78 Kbyte circa. Se si esegue il file allegato, il virus entra in azione. A seconda della variante, Lovgate è anche in grado di copiarsi in modo automatico su tutti i dischi condivisi di una rete locale.

Alcune delle specie di questo virus colpiscono sistemi Windows Nt, 2000 o XP, mentre le nuove varianti sono adatte a tutte le versioni di Windows, compresi quindi 95, 98 e Me. I più diffusi antivirus commerciali, aggiornati dopo il 28 febbraio, sono in grado di neutralizzare le email contenenti le varianti di Lovgate al loro arrivo, prima che possano essere eseguite sul computer ospite ed entrare quindi in azione.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome