Security alert: ritorna Lovgate

Due nuove varianti del worm Lovgate stanno infettando da pochi giorni migliaia di computer in tutto il mondo.

Come i predecessori, i due nuovi worm sfruttano delle vulnerabilità presenti nelle interfacce RPC (Remote Procedure Call) di numerose versioni di Microsoft Windows: in questo caso i sistemi a rischio sarebbero Windows 2000, Windows NT, Windows Server 2003 e Windows XP.

Nei sistemi infetti il virus crea una cartella denominata "Media", apre una bakdoor di accesso (Backdoor-AQJ) e cerca di duplicarsi effettuando una scansione di indirizzi IP e sfruttando accessi remoti poco sicuri. Può anche auto-propagarsi tramite un proprio sistema SMTP, inviando e-mail (ad indirizzi presenti in rubrica o random) che hanno subject variabile ed un attachment di 152064 bytes con estensione .bat, .pif, .cmd, .exe, .scr oppure .zip.
Lovegate può attaccare i file .exe del sistema infetto, rimpiazzandoli con una copia di se stesso e rinominando gli originali con estensione .zmx e può bloccare i processi in esecuzione associati a numerosi antivirus per eluderne il funzionamento.

W32.Lovgate.y@mm alias W32.Lovgate.ad@MM, I-Worm.Lovgate.ae, WORM.LOVGATE.Y e W32.Lovgate.z@mm alias I-Worm.Lovgate.ah per ora sono stati classificati ad un livello di rischio medio da McAfee e a livello 2 (in una scala da 1 a 5) da Symantec.

Informazioni più dettagliate e tool di rimozione possono essere reperiti a partire dai link sopra indicati.

Newa tratta da Programmazione.it