computerwoche.de

Web

Wurm Lovegate geistert in der Variante "C" durchs Netz

25.02.2003

MÜNCHEN (COMPUTERWOCHE) - Seit Montag treibt der Internet-Wurm "Lovegate.C" sein Unwesen. Antivirenexperten zufolge verbreitet er sich, indem er selbständig in die Posteingangsordner der Microsoft-Mail-Programme Outlook und Outlook Express eingehende Nachrichten beantwortet. Für Opfer sind infizierte Mails schwer zu erkennen, da sich der Schädling mit unterschiedlichen Betreffzeilen tarnt. Auch die im Attachment enthaltene Schadroutine hat keine einheitliche Bezeichnung. Auf infizierten Rechnern kopiert sich Lovegate.C unter den Namen "WinRpcsrv.exe", "Syshelp.exe", "Winrpc.exe", "WinGate.exe" und "Rpcsrv.exe" in das Windows-Systemverzeichnis. Dort legt er außerdem die Dateien "ily.dll", "Task.dll", "Reg.dll" und "1.dll" an, hinter denen sich ein trojanisches Pferd verbirgt. Es öffnet den Port 10.168, über den sich daraufhin ein Hacker Zugriff auf den Rechner verschaffen kann. Vermutlich der Virenautor selbst wird per E-Mail an die Adressen "54love@fescomail.net" und

"hacker117@163.com" über befallene Systeme informiert.

Von vernetzten Rechnern breitet sich Lovegate.C auch auf andere freigegebene Netzlaufwerke aus, auf denen er folgende Dateien ablegt:

Pics.exe

Images.exe

Joke.exe

Pspgame.exe

News_doc.exe

Hamster.exe

Tamagotxi.exe

Searchurl.exe

Setup.exe

Card.exe

Billgt.exe

Midsong.exe

S3msong.exe

Docs.exe

Humor.exe

Fun.exe

Die Experten raten dringend, in vernetzten Umgebungen auf das Anklicken solcher Dateien zu verzichten, auch wenn der eigene Rechner noch nicht infiziert wurde. Wer Lovegate.C von befallenen Rechnern putzen will, muss nicht nur die oben erwähnten Dateien aus dem Systemverzeichnis löschen, sondern auch folgende Registry-Schlüssel entfernen:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"syshelp" = C:\WINDOWS\SYSTEM\syshelp.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"WinGate initialize" = C:\WINDOWS\SYSTEM\WinGate.exe -remoteshell

HKEY_CLASSES_ROOT\txtfile\shell\open\command (Default) = "winrpc.exe %1"

In der Systemdatei "Win.ini" ist außerdem der Eintrag "run=rpcsrv.exe" im Windows-Abschnitt zu löschen. Betroffen sind ausschließlich Windows-Rechner, unter Linux, Unix und Mac OS bleibt Lovegate.C wirkungslos. (lex)