Po sv∞t∞ se zaΦal Üφ°it nov² virus Win32/LovGate.C. Nßsledujφcφ informace jsou p°evzaty od spolehlivΘho zdroje - od Petra Odehnala ze spoleΦnosti Grisoft - www.grisoft.cz :-)

Je to cinskeho puvodu, posila se mailem a kopiruje se v ramci LAN. Vlastni .EXE soubor viru je 78848 bajtu dlouhy.

Po spusteni si vytvori nekolik EXE souboru se svou kopii a nektere z nich zaregistruje pro spousteni v HKLM\Software\Microsoft\Windows\CurrentVersion\Run:

klic: "syshelp" hodnota: "SYSTEM\syshelp.exe"

klic: "WinGate initialize" hodnota: "SYSTEM\System32\WinGate.exe -remoteshell"

klic: "Module Call initialize" hodnota: "RUNDLL32.EXE reg.dll ondll_reg"

(Pozn. SYSTEM je nahrazen aktualni cestou do systemoveho adresare Windows)

Jednu svou kopii zaregistruje v HKCR\txtfile\shell\open\command jako program urceny k otevirani textovych souboru: "winrpc.exe %1"

Puvodni nastaveni teto polozky nelze obnovit (virus je nikam neuklada), takze je asi nejlepsi tam nastavit defaultni hodnotu: "%SystemRoot%\system32\NOTEPAD.EXE %1"

Pod Win 9x take doplni do WIN.INI radek: run=rpcsrv.exe

Krome toho vypusti (opet v nekolika kopiich) Backdoor.

Jedno·Φelov² antivirus lze stßhnout odsud !