English
Deutsch
Francais
Español
Italian
Home
Vireninfos
Worm/Lovgate.W.1
Suche
Home
Support
Lösungen
Produkte
Downloads
Vireninfos
Statistiken
VDF Historie
Virenkunde
Datei-Upload
Sicherheits-News
In-the-Wild-Viren
Unternehmen
Presse
Partner
Newsletter
Worm/Lovgate.W.1 - Worm
Siehe auch
Kurzfassung
Vollständig
Statistik
Wie würden Sie diese Information bewerten?
Wertlos
Hervorragend
Name:
Worm/Lovgate.W.1
Entdeckt am:
05/04/2004
Art:
Worm
In freier Wildbahn:
Ja
Gemeldete Infektionen:
Niedrig
Verbreitungspotenzial:
Mittel
Schadenspotenzial:
Niedrig
Statische Datei:
Ja
Dateigröße:
61.440 Bytes
MD5 Prüfsumme:
068ab7aff165eaf4a6b5d1f5efc5779d
VDF Version:
6.24.00.87
- Mon, 05 Apr 2004 17:00 (GMT+1)
General
Verbreitungsmethode:
• Lokales Netzwerk
Aliases:
• Symantec: W32.Lovgate.R@mm
• Mcafee: W32/Lovgate.x@MM
• Kaspersky: Email-Worm.Win32.LovGate.x
• TrendMicro: WORM_LOVGATE.V
• Sophos: W32/Lovgate-V
• Grisoft: I-Worm/Lovgate.X
• VirusBuster: I-Worm.Lovgate.AP
• Eset: Win32/Lovgate.Z
• Bitdefender: Win32.Lovgate.V@mm
Betriebsysteme:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Auswirkungen:
• Änderung an der Registry
• Macht sich Software Verwundbarkeit zu nutzen
Dateien
Eine Kopie seiner selbst wird hier erzeugt:
•
%SYSDIR%
\spollsv.exe
Registry
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Shell Extension"="
%SYSDIR%
\spollsv.exe"
Infektion über das Netzwerk
Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.
Exploit:
Folgende Sicherheitslücke wird ausgenutzt:
–
MS03-026
(Buffer Overrun in RPC Interface)
IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert wobei die ersten drei Zahlen die der eigenen Addresse sind. Es wird dann versuche eine Verbindung mit diesen Adressen aufzubauen.
Ablauf der Infektion:
Auf dem übernommenen Computer wird ein FTP Skript erstellt. Dieses lädt die Malware auf den entfernten Computer.
Hintertür
Der folgende Port wird geöffnet:
–
%SYSDIR%
\spollsv.exe an einem zufälligen TCP port um einen FTP Server zur Verfügung zu stellen.
Kurzfassung
hier
.
Beschreibung erstellt von Irina Boldea am Wed, 17 May 2006 11:57 (GMT+1)
Beschreibung geändert von Irina Boldea am Wed, 17 May 2006 12:06 (GMT+1)
»
Über Malware
»
Über Phishing
»
In-the-Wild-Viren
« zurück
Diese Seite drucken
TR/Crypt.CFI.Gen
Worm/Mytob.AD
Worm/Kidala.G
Worm/Mytob.BF
Worm/Mytob.AT
DR/Autoit.I.1
TR/Spy.ZBot.DFR
TR/VB.aei
EXP/Java.Gimsh.A.40
TR/Agent.vgo
Einfach aktuelle Nachrichten von Avira bekommen, als
Erkennt und entfernt folgende Malware und ihre Varianten:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Hier downloaden
Virenwarnung
auf Ihre Webseite einbinden
© 2008 Avira GmbH
Copyright
Datenschutz
Sitemap
Feedback
Impressum
FAQ
Kontakt
Vireninfos Worm/Lovgate.W.1
Diese Seite drucken
.gif)
