Nume:Worm/Lovgate.W.1
Descoperit pe data de:05/04/2004
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Scazut
Fisier static:Da
Marime:61.440 Bytes
MD5:068ab7aff165eaf4a6b5d1f5efc5779d
Versiune VDF:6.24.00.87

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Symantec: W32.Lovgate.R@mm
   •  Mcafee: W32/Lovgate.x@MM
   •  Kaspersky: Email-Worm.Win32.LovGate.x
   •  TrendMicro: WORM_LOVGATE.V
   •  Sophos: W32/Lovgate-V
   •  Grisoft: I-Worm/Lovgate.X
   •  VirusBuster: I-Worm.Lovgate.AP
   •  Eset: Win32/Lovgate.Z
   •  Bitdefender: Win32.Lovgate.V@mm


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Profita de vulnerabilitatile softului

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\spollsv.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Shell Extension"="%SYSDIR%\spollsv.exe"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS03-026 (Buffer Overrun in RPC Interface)


Generarea adreselor IP:
Genereaza adrese IP aleatoare, pastrand doar primii trei octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.

 Backdoor Deschide portul

– %SYSDIR%\spollsv.exe port TCP aleator pentru a functiona ca server FTP.

Description inserted by Irina Boldea on Wednesday, May 17, 2006
Description updated by Irina Boldea on Wednesday, May 17, 2006

Back . . . .