Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Lovgate.F
Entdeckt am:13/05/2003
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:107.008 Bytes
MD5 Prüfsumme:5d73aba7169ebfd2bdfd99437d5d8b11
IVDF Version:6.19.00.15 - Dienstag, 13. Mai 2003

 General Verbreitungsmethoden:
   • Email
   • Lokales Netzwerk


Aliases:
   •  Symantec: W32.HLLW.Lovgate.G@mm
   •  Mcafee: W32/Lovgate.f@M
   •  Kaspersky: Email-Worm.Win32.LovGate.f
   •  F-Secure: W32/Lovgate.F@mm
   •  Sophos: W32/Lovgate-E
   •  Panda: W32/Lovgate.F
   •  Eset: Win32/Lovgate.G
   •  Bitdefender: Win32.LovGate.F@mm


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Verfügt über eigene Email Engine
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\IEXPLORE.EXE
   • %SYSDIR%\kernel66.dll
   • %SYSDIR%\RAVMOND.exe
   • %SYSDIR%\WinDriver.exe
   • %SYSDIR%\WinGate.exe
   • %SYSDIR%\WinHelp.exe
   • %SYSDIR%\winrpc.exe



Es werden folgende Dateien erstellt:

%SYSDIR%\111.dll (81920 bytes) Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Lovgate.F.2

%SYSDIR%\ily668.dll (81920 bytes) Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Lovgate.F.2

%SYSDIR%\reg678.dll (81920 bytes) Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Lovgate.F.2

%SYSDIR%\Task688.dll (81920 bytes) Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Lovgate.F.2

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WinHelp"="%SYSDIR%\WinHelp.exe"
   • "WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
   • "Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"



Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\ll_reg]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=Rundll32.exe Task688.dll ondll_server
     "DisplayName"="ll_reg"
     "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\
   NetMeeting Remote Desktop (RPC) Sharing]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=Rundll32.exe Task688.dll ondll_server
     "DisplayName"="NetMeeting Remote Desktop (RPC) Sharing"
     "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Windows Management Instrumentation Driver Extension]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=%SYSDIR%\WinDriver.exe -start_server
     "DisplayName"="Windows Management Instrumentation Driver Extension"
     "ObjectName"="LocalSystem"



Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Neuer Wert:
   • "run"="RAVMOND.exe"

– [HKLM\SOFTWARE\Classes\txtfile\shell\open\command]
   Neuer Wert:
   • @="winrpc.exe %1"

 Email Die Malware verfügt über eine eigene SMTP engine um Spam Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:
Die Malware nutzt Messaging Application Programming Interface (MAPI) um Antworten auf gespeicherte Emails im Posteingang zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.
Die Absenderadresse ist des Benutzers Outlook Benutzerkennung


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Eine der folgenden:
   • Reply to this!
   • Let's Laugh
   • Last Update
   • for you
   • Great
   • Help
   • Attached one Gift for u..
   • Hi Dear
   • Hi
   • See the attachement



Body:
Der Body der Email ist einer der folgenden:
   • For further assistance, please contact!
   • Copy of your message, including all the headers is attached.
   • This is the last cumulative update.
   • Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
   • Send reply if you want to be official beta tester.
   • This message was created automatically by mail delivery software (Exim).
   • It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
   • Adult content!!! Use with parental advisory.
   • Patrick Ewing will give Knick fans something to cheer about Friday night.
   • Send me your comments...


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • About_Me.txt.pif
   • driver.exe
   • Doom3 Preview!!!.exe
   • enjoy.exe
   • YOU_are_FAT!.TXT.pif
   • Source.exe
   • Interesting.exe
   • README.TXT.pif
   • images.pif
   • Pics.ZIP.scr

Der Dateianhang ist eine Kopie der Malware.

 Versand Suche nach Adressen:
Es durchsucht folgende Datei nach Emailadressen:
   • *.ht*


MX Server:
Es besitzt die Fähigkeit folgenden MX Server zu kontaktieren:
   • smtp.163.com

 Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Eine Kopie seiner selbst wird in folgenden freigegebenen Netzressourcen erstellt:
   • Are you looking for Love.doc.exe
   • autoexec.bat
   • The world of lovers.txt.exe
   • How To Hack Websites.exe
   • Panda Titanium Crack.zip.exe
   • Mafia Trainer!!!.exe
   • 100 free essays school.pif
   • AN-YOU-SUCK-IT.txt.pif
   • Sex_For_You_Life.JPG.pif
   • CloneCD + crack.exe
   • Age of empires 2 crack.exe
   • MoviezChannelsInstaler.exe
   • Star Wars II Movie Full Downloader.exe
   • Winrar + crack.exe
   • SIMS FullDownloader.zip.exe
   • MSN Password Hacker and Stealer.exe


Um sich Zugriff auf entfernte Computer zu verschaffen werden folgende Anmeldeinformationen genutzt:

– Folgende Liste von Benutzernamen:
   • Guest
   • Administrator

– Folgende Liste von Passwörtern:
   • zxcv; yxcv; xxx; xp; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; pw; pc; Password; owner; oracle; mypc123;
      mypc; mypass123; mypass; love; login; Login; Internet; home;
      godblessyou; god; enable; database; computer; alpha; admin123; Admin;
      abcd; aaa; aa; 88888888; 2600; 2003; 2002; 123asd; 123abc; 123456789;
      1234567; 123123; 121212; 12; 11111111; 110; 007; 00000000; 000000; 0;
      pass; 54321; 12345; password; passwd; server; sql; !@; $%^&*; !@;
      $%^&; !@; $%^; !@; $%; asdfgh; asdf; !@; $; 1234; 111; 11; root;
      abc123; 12345678; abcdefg; abcdef; abc; 888888; 666666; 111111; admin;
      administrator; guest; 654321; 123456; 321; 123



IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert wobei die ersten drei Zahlen die der eigenen Addresse sind. Es wird dann versuche eine Verbindung mit diesen Adressen aufzubauen.

 Hintertür Der folgende Port wird geöffnet:

%SYSDIR%\lsass.exe am TCP Port 1092 um eine Shell zur Verfügung zu stellen.

 Injektion –  Es injiziert folgende Datei in einen Prozess: %SYSDIR%\111.dll


– Es injiziert eine Backdoor-Routine in einen Prozess.

    Prozessname:
   • %SYSDIR%\lsass.exe


 Diverses Mutex:
Es werden folgende Mutexe erzeugt:
   • CTF.Compart.Mutex
   • CTF.Asm.Mutex
   • CTF.Layouts.Mutex
   • CTF.TMD.Mutex
   • CTF.TimListCache.FMP

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • Aspack

Die Beschreibung wurde erstellt von Petre Galan am Montag, 5. Oktober 2009
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 6. Oktober 2009

zurück . . . .