Ny Lovgate-orm overtager program-filer

Annonceindlæg tema

Forsvar & beredskab

Cybersikkerhed, realtidsdata og robuste it-systemer er blevet fundamentet for moderne forsvar.

En ny variant af de talrige Lovgate-orme har taget et gammelt våben i brug for at få et solidt fodfæste på de pc'er, den inficerer.

Teknikken kan i sidste ende efterlade værtsmaskinen helt ubrugelig.

Ligesom de foregående varianter i Lovgate-familien inficerer ormen Windows-pc'er gennem e-mail, delte netværksdrev og fildelingstjenester.

Den nye variant skiller sig dog ud ved at tage en gammel teknik i brug for at sikre sig, at pc'en forbliver inficeret.

Hvor både de øvrige medlemmer af Lovgate og de fleste andre orme, som hærger i øjeblikket, blot nøjes med at inficere pc'en med en enkelt kopi af sig selv, så opretter den nye Lovgate flere kopier af sig selv på pc'ens harddisk.

Ormen søger efter programfiler af typen ".EXE". Den omdøber derefter filerne og lægger i stedet en kopi af sig selv samme sted og med samme navn som programfilen.

Dermed sikrer Lovgate, at der er større mulighed for at geninficere pc'en, hvis ormen bliver fjernet fra hukommelsen eller Windows registreringsdatabasen.

Når brugeren eller systemet forsøger at starte det oprindelige program, bliver ormen i stedet startet. Dermed kan ormen forblive aktiv på systemet, uden at sætte spor i registreringsdatabasen.

Programfilerne kan være kritiske for systemet, og derfor kan ormen ende med at tage livet af sin vært.

Under alle omstændigheder kræver der et større oprydningsarbejde, fordi der kan være hundredevis af filer, som er blevet omdømt og derfor utilgængelige.

Teknikken er langt fra ny. Som eksempel nævner det finske antivirusfirma F-Secure en tidligere virus, HLLC.Plane, som søgte efter EXE-filer på harddisken.

Når den fandt en EXE-fil kopierede den sig selv til samme bibliotek og til en fil med samme navn, men med efternavnet ".COM".

Dermed udnyttede virussen, at DOS vil eksekvere en COM-fil før en EXE-fil, hvis styresystemet blot modtager et kald til filen, uden at fil-endelsen er specificeret.

Ifølge F-Secure er der nu to Lovgate-varianter, som gør noget tilsvarende. Forskellen på de to er blot, at den ene omdøber ".EXE" til ".ZMX", hvor den anden omdøber ".EXE" til ".~EX".