Lovgate.F
est un virus qui
se propage par email et via les dossiers partagés. Il
se présente sous la forme d'un message dont le titre
est une réponse à un message précédemment
envoyé. Si le fichier joint est exécuté,
le virus s'envoie en répondant automatiquement et parfois
massivement aux messages présents dans la boîte
de réception, puis installe une backdoor permettant la
prise de contrôle à distance de l'ordinateur infecté.
|
PREVENTION
:
Les utilisateurs concernés doivent mettre
à jour leur antivirus. D'une manière générale,
même si son nom est attrayant il ne faut pas exécuter
un fichier joint sans l'avoir au préalable analysé avec
un antivirus à jour.
DESINFECTION
:
Avant
de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixLGate pour rechercher
et éliminer le virus.
|
TYPE
:
Ver
SYSTEME(S)
CONCERNE(S) :
Windows NT
Windows 2000
Windows XP
ALIAS
:
Win32.Lovgate.F (CA)
I-Worm.LovGate.f (Kaspersky)
W32/Lovgate.f@M (Mc Afee)
W32.HLLW.Lovgate.G@mm (Symantec)
W32/Lovgate-E (Sophos)
WORM_LOVGATE.F (Trend Micro)
TAILLE
:
107.008 octets
DECOUVERTE
:
23/03/2003
DESCRIPTION
DETAILLEE :
Le virus se présente sous la forme d'un message
dont le titre, le corps et le nom du fichier joint sont aléatoires.
Le titre est une réponse à un message précédemment
envoyé au
correspondant :
- Re:
[objet d'un message envoyé à la personne infectée]
Le corps
du message se présente ainsi :
'[nom
d'expéditeur du correspondant]' wrote:
====
> From: [adresse email du correspondant]
> Subject: [sujet du message précédement
envoyé]
>
> [extrait du message précédemment envoyé]
> ...'
====
[nom de domaine de l'expéditeur] account auto-reply:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
> Get your FREE [nom de domaine de l'expéditeur]
account now! < |
Les pièces
jointes ont une extension en .EXE, .SCR ou .PIF :
- Britney
spears nude.exe.txt.exe
- Deutsch
BloodPatch!.exe
- dreamweaver
MX (crack).exe
- DSL
Modem Uncapper.rar.exe
- How
to Crack all gamez.exe
- I am
For u.doc.exe
- Industry
Giant II.exe joke.pif
- Macromedia
Flash.scr
- Me_nude.AVI.pif
- s3msong.MP3.pif
- SETUP.EXE
Sex in Office.rm.scr
- Shakira.zip.exe
- StarWars2
- CloneAttack.rm.scr
- the
hardcore game-.pif
Si le
fichier joint est exécuté, le virus tente de
répondre aux messages arrivant dans la boîte
de réception de certains logiciels de messagerie compatibles
MAPI (dont Outlook et Outlook Express) en
s'envoyant en pièce jointe accompagné d'un texte
incitant le correspondant à exécuter le fichier
joint contaminé. Il peut envoyer plusieurs messages
infectés en réponse à un même courrier.
Le
virus tente également de récupérer des
adresses emails dans des fichiers HTML présents sur
le disque dur et de s'y envoyer.
Lovgate.F
ouvre le port 20168 de l'ordinateur et envoie immédiatement
un message indiquant à son concepteur que l'ordinateur
est infecté peut être accédé à
distance. Une personne malveillante peut alors prendre le
contrôle l'ordinateur contaminé, et notamment
en lire ou en exécuter les fichiers.
Cette
variante ne fonctionne pas correctement sous Windows 95/98/Me.
INFORMATIONS
COMPLEMENTAIRES :
->
FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
|
