¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Lovgate.W
Descubierto:13/12/2012
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:179.200 Bytes
Suma de control MD5:EE60B144AEA5AA8550FD3E0A873CFF2C
Versión del VDF:7.11.53.216

 General Métodos de propagación:
   • Correo electrónico
   • Red local


Alias:
   •  Symantec: W32.HLLW.Lovgate.I@mm
   •  Mcafee: W32/Lovgate.w@M
   •  Kaspersky: Email-Worm.Win32.LovGate.gen
   •  TrendMicro: WORM_LOVGATE.W
   •  F-Secure: W32/Lovgate.W@mm
   •  Sophos: W32/Lovgate-AP
   •  Grisoft: I-Worm/Lovgate.X
   •  VirusBuster: I-Worm.Lovgate.BI
   •  Bitdefender: Win32.LovGate.W@mm


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\WinDriver.exe
   • %SYSDIR%\Winexe.exe
   • %SYSDIR%\WinGate.exe
   • %SYSDIR%\RAVMOND.exe
   • %SYSDIR%\IEXPLORE.EXE
   • %TEMPDIR%\%serie de caracteres aleatorios%
   • c:\SysBoot.EXE
   • %WINDIR%\SYSTRA.EXE
   • %SYSDIR%\WinHelp.exe



Suelta una copia suya en el sistema, escogiendo el nombre del fichero de un listado:
– Para: %todas las carpetas compartidas% Empleando uno de los siguientes nombres:
   • Are you looking for Love.doc.exe
   • autoexec.bat
   • The world of lovers.txt.exe
   • How To Hack Websites.exe
   • Panda Titanium Crack.zip.exe
   • Mafia Trainer!!!.exe
   • 100 free essays school.pif
   • AN-YOU-SUCK-IT.txt.pif
   • Sex_For_You_Life.JPG.pif
   • CloneCD + crack.exe
   • Age of empires 2 crack.exe
   • MoviezChannelsInstaler.exe
   • Star Wars II Movie Full Downloader.exe
   • Winrar + crack.exe
   • SIMS FullDownloader.zip.exe
   • MSN Password Hacker and Stealer.exe




Crea los siguientes ficheros:

– c:\AUTORUN.INF Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • [AUTORUN]
     Open="C:\SysBoot.EXE" /StartExplorer

%SYSDIR%\kernel66.dll Los análisis adicionales indicaron que este fichero es también viral.
%SYSDIR%\ily668.dll Los análisis adicionales indicaron que este fichero es también viral.
%SYSDIR%\task668.dll Los análisis adicionales indicaron que este fichero es también viral.
%SYSDIR%\reg667.dll Los análisis adicionales indicaron que este fichero es también viral.

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\software\microsoft\windows\currentversion\run\]
   • "WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
   • "Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
   • "WinHelp"="%SYSDIR%\WinHelp.exe"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"

– [HKLM\software\microsoft\windows\currentversion\runservices\]
   • "SystemTra"="%WINDIR%\SysTra.EXE /SysTra:Kernel32.Dll"



Añade la siguiente clave al registro:

– [HKCU\software\microsoft\windows nt\currentversion\windows\]
   • "DebugOptions"="2048"
   • "Documents"=""
   • "DosPrint"="no"
   • "load"=""
   • "NetMessage"="no"
   • "NullPort"="None"
   • "Programs"="com exe bat pif cmd"
   • "run"="RAVMOND.exe"



Modifica la siguiente clave del registro:

– [HKCR\exefile\shell\open\command]
   Valor anterior:
   • @="\"%1\" %*"
   Nuevo valor:
   • @="%SYSDIR%\winexe.exe \"%1\" %*"

 Correo electrónico Emplea Microsoft Outlook para enviar mensajes de correo. Las características están descritas abajo:
Emplea Messaging Application Programming Interface (MAPI) para enviar respuestas a los mensajes almacenados en la bandeja de entrada. Sus características están descritas a continuación:


De:
La dirección del remitente es la cuenta de Outlook del usuario.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.


Asunto:
Uno de los siguientes:
   • "Reply to this!"
   • "Let's Laugh"
   • "Last Update"
   • "for you"
   • "Great"
   • "Help"
   • "Attached one Gift for u.."
   • "Hi Dear"
   • "See the attachement"



El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • For further assistance, please contact!
   • Copy of your message, including all the headers is attached.
   • This is the last cumulative update.
   • Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
   • Send reply if you want to be official beta tester.
   • This message was created automatically by mail delivery software (Exim).
   • It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
   • Adult content!!! Use with parental advisory.
   • Patrick Ewing will give Knick fans something to cheer about Friday night.
   • Send me your comments...


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • About_Me.txt.pif
   • driver.exe
   • Doom3 Preview!!!.exe
   • enjoy.exe
   • YOU_are_FAT!.TXT.pif
   • Source.exe
   • Interesting.exe
   • README.TXT.pif
   • images.pif
   • Pics.ZIP.scr

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo puede tener una de las siguientes formas:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en el siguiente fichero:
   • %cada fichero *.htm%

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta una copia suya en la siguiente carpeta compartida en la red:
   • %todas las carpetas compartidas%


Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– El siguiente nombre de usuario:
   • Administrator

– El siguiente listado de contraseñas:
   • zxcv; yxcv; xxx; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; Password; owner; oracle; mypc123; mypc;
      mypass123; mypass; love; login; Login; Internet; home; godblessyou;
      god; enable; database; computer; alpha; admin123; Admin; abcd; aaa;
      88888888; 2600; 2003; 2002; 123asd; 123abc; 123456789; 1234567;
      123123; 121212; 11111111; 110; 007; 00000000; 000000; pass; 54321;
      12345; password; passwd; server; sql; !@&; 035;$%^&*; !@&; 035;$%^&;
      !@&; 035;$%^; !@&; 035;$%; asdfgh; asdf; !@&; 035;$; 1234; 111; root;
      abc123; 12345678; abcdefg; abcdef; abc; 888888; 666666; 111111; admin;
      administrator; guest; 654321; 123456; 321; 123



Creación de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.

 Finalización de los procesos Termina los procesos que contienen las siguientes series de caracteres:
   • RISING; SKYNET; SYMANTEC; MCAFEE; GATE; RFW.EXE; RAVMON.EXE; KILL;
      NAV; DUBA; KAV


 Informaciones diversas Recursos compartidos en la red:
Será creado el siguiente recurso compartido en la red:
   • %TEMPDIR%\


 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • ASPack 2.11

Descripción insertada por Andrei Gherman el lunes, 1 de agosto de 2005
Descripción actualizada por Andrei Ivanes el martes, 14 de marzo de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.