זהירות: תולעת מתוחכמת

חברות האנטי וירוס מזהירות מפני וירוס חדש בעל דרגת סיכון בינונית אשר מתפשט במהירות בשעות האחרונות.
הווירוס, שזכה לכינוי WORM_ LOVEGATE.C, התגלה הבוקר. מדובר בווירוס מסוג תולעת בעל נזק פוטנציאלי גבוה באופן יחסי, הפוגע במשתמשי תוכנות הדואר אאוטלוק ואאוטלוק אקספרס. חברת "טרנד מיקרו" מדוות על מספר רב של עדויות להתפשטות הווירוס באירופה, ישראל, טייוואן, אוסטרליה ויפן. חברת MessageLabs מדווחת על 2,000 תצפיות של הווירוס מאז הבוקר.
התולעת משתמשת בטקטיקה חדשה בתחום הווירוסים באינטרנט. במקום לשלוח את הווירוס לכל המשתמשים בפנקס הכתובות במחשב הנגוע, WORM_ LOVEGATE.C סורקת את הדואר הנכנס של המשתמש ועונה על הודעות נכנסות באמצעות תכונות MAPI (תוכנית ממשק המאפשרת ליישומי דואר אלקטרוני שונים להחליף הודעות ביניהם) של Windows. למשל, אם מתקבלת בתיבת הדואר הנכנס של המחשב הנגוע הודעה ששורת הנושא שלה הוא “please review my memo” ('אנא עיין בתזכיר'), התולעת תשלח את התגובה הבאה:

Subject "re: please review my memo"
I'll try to reply as soon as possible.
"Take a look to the attachment and send me your opinion! '

(תגובה: אנסה להשיב בהקדם. נא עיין במסמך המצורף ושלח לי את דעתך". להודעה זו יצורף הווירוס כקובץ בשם Docs.exe ,Roms.exe ,Sex.exe או שם אחר. יש לציין, כי הגירסאות החדישות של תוכנת הדואר אאוטלוק מונעות קבלת קבצים בפורמט exe. ולכן משתמשי גירסאות אלה חסינים מקבלת התולעת (לעומת משתמשים אחרים באאוטלוק).
נוסף על כך, הווירוס סורק את המחשב הנגוע בחיפוש אחר קבצים בפורמט ht. ושולח עצמו כקובץ בשם משתנה לכל כתובות הדואר האלקטרוני שהוא מוצא בקבצים אלה. גוף ההודעות האלה יכלול אחד מהמשפטים הבאים ושם הנושא משתנה אף הוא.

סוס טרויאני, ציתות להקלדות המשתמשים

WORM_ LOVEGATE.C כולל סוס טרויאני המעתיק עצמו לכונני רשת ותיקיות משנה במחשב נגוע. עם ההדבקה, הווירוס פותח דלת אחורית (backdoor) בפורט 10168 במחשב ומאפשר למשתמשים מרוחקים לגשת ולשלוט במערכת הפגועה. הווירוס, הכולל מנוע SMTP, מנסה לגנוב סיסמאות של משתמשים ושולח את המידע הזה בהודעת דואר אלקטרוני לכתובות hello_dll@163.com ו-hacker117@163.com. ככל הנראה, מדובר בהודעות שמתקבלות בדומיין סיני.
הווירוס מעתיק עצמו לקבצים במערכת Windows בעלי השמות WinGate.exe ,WinRpcsrv.exe ,syshelp.exe, ועוד. אם המחשב הוא חלק מרשת, הווירוס ינסה להעתיק עצמו לאיזור התיקיות המשותפות לקבצים בעלי שמות כמו fun.exe ,humor.exe ,docs.exe ,s3msong.exe ואחרים. נוסף על כך, WORM_ LOVEGATE.C מצותת להקלדות של המשתמש ושומר את המידע בקבצים win32pwd.sys ו- win32add.sys.
"הווירוס עלולה לפגוע קשות גם בארגונים רבים בישראל", אומר רוי תשוקתי, מנהל מוצר "טרנד מיקרו" בישראל, "וזאת, בגלל התפשטותו המהירה באמצעות הדואר האלקטרוני והתקשורת באינטרנט. לכן, חשוב לעדכן מיד את קובץ החתימה של תוכנת הדואר האלקטרוני". כל חברות האנטי וירוס המובילות כבר עדכנו את קובצי החתימה שלהן. כדי להתגונן, מומלץ להוריד את העדכון ולהפעיל את הסריקה בתוכנת האנטי וירוס.