¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Lovgate.W
Descubierto:13/12/2012
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio
Potencial de propagacin:Medio
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:179.200 Bytes
Suma de control MD5:EE60B144AEA5AA8550FD3E0A873CFF2C
Versin del VDF:7.11.53.216

 General Mtodos de propagacin:
   • Correo electrnico
   • Red local


Alias:
   •  Symantec: W32.HLLW.Lovgate.I@mm
   •  Mcafee: W32/Lovgate.w@M
   •  Kaspersky: Email-Worm.Win32.LovGate.gen
   •  TrendMicro: WORM_LOVGATE.W
   •  F-Secure: W32/Lovgate.W@mm
   •  Sophos: W32/Lovgate-AP
   •  Grisoft: I-Worm/Lovgate.X
   •  VirusBuster: I-Worm.Lovgate.BI
   •  Bitdefender: Win32.LovGate.W@mm


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta ficheros dainos
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %SYSDIR%\WinDriver.exe
   • %SYSDIR%\Winexe.exe
   • %SYSDIR%\WinGate.exe
   • %SYSDIR%\RAVMOND.exe
   • %SYSDIR%\IEXPLORE.EXE
   • %TEMPDIR%\%serie de caracteres aleatorios%
   • c:\SysBoot.EXE
   • %WINDIR%\SYSTRA.EXE
   • %SYSDIR%\WinHelp.exe



Suelta una copia suya en el sistema, escogiendo el nombre del fichero de un listado:
Para: %todas las carpetas compartidas% Empleando uno de los siguientes nombres:
   • Are you looking for Love.doc.exe
   • autoexec.bat
   • The world of lovers.txt.exe
   • How To Hack Websites.exe
   • Panda Titanium Crack.zip.exe
   • Mafia Trainer!!!.exe
   • 100 free essays school.pif
   • AN-YOU-SUCK-IT.txt.pif
   • Sex_For_You_Life.JPG.pif
   • CloneCD + crack.exe
   • Age of empires 2 crack.exe
   • MoviezChannelsInstaler.exe
   • Star Wars II Movie Full Downloader.exe
   • Winrar + crack.exe
   • SIMS FullDownloader.zip.exe
   • MSN Password Hacker and Stealer.exe




Crea los siguientes ficheros:

c:\AUTORUN.INF Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • [AUTORUN]
     Open="C:\SysBoot.EXE" /StartExplorer

%SYSDIR%\kernel66.dll Los anlisis adicionales indicaron que este fichero es tambin viral.
%SYSDIR%\ily668.dll Los anlisis adicionales indicaron que este fichero es tambin viral.
%SYSDIR%\task668.dll Los anlisis adicionales indicaron que este fichero es tambin viral.
%SYSDIR%\reg667.dll Los anlisis adicionales indicaron que este fichero es tambin viral.

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

[HKLM\software\microsoft\windows\currentversion\run\]
   • "WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
   • "Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
   • "WinHelp"="%SYSDIR%\WinHelp.exe"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"

[HKLM\software\microsoft\windows\currentversion\runservices\]
   • "SystemTra"="%WINDIR%\SysTra.EXE /SysTra:Kernel32.Dll"



Aade la siguiente clave al registro:

[HKCU\software\microsoft\windows nt\currentversion\windows\]
   • "DebugOptions"="2048"
   • "Documents"=""
   • "DosPrint"="no"
   • "load"=""
   • "NetMessage"="no"
   • "NullPort"="None"
   • "Programs"="com exe bat pif cmd"
   • "run"="RAVMOND.exe"



Modifica la siguiente clave del registro:

[HKCR\exefile\shell\open\command]
   Valor anterior:
   • @="\"%1\" %*"
   Nuevo valor:
   • @="%SYSDIR%\winexe.exe \"%1\" %*"

 Correo electrnico Emplea Microsoft Outlook para enviar mensajes de correo. Las caractersticas estn descritas abajo:
Emplea Messaging Application Programming Interface (MAPI) para enviar respuestas a los mensajes almacenados en la bandeja de entrada. Sus caractersticas estn descritas a continuacin:


De:
La direccin del remitente es la cuenta de Outlook del usuario.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.


Asunto:
Uno de los siguientes:
   • "Reply to this!"
   • "Let's Laugh"
   • "Last Update"
   • "for you"
   • "Great"
   • "Help"
   • "Attached one Gift for u.."
   • "Hi Dear"
   • "See the attachement"



El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • For further assistance, please contact!
   • Copy of your message, including all the headers is attached.
   • This is the last cumulative update.
   • Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
   • Send reply if you want to be official beta tester.
   • This message was created automatically by mail delivery software (Exim).
   • It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
   • Adult content!!! Use with parental advisory.
   • Patrick Ewing will give Knick fans something to cheer about Friday night.
   • Send me your comments...


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • About_Me.txt.pif
   • driver.exe
   • Doom3 Preview!!!.exe
   • enjoy.exe
   • YOU_are_FAT!.TXT.pif
   • Source.exe
   • Interesting.exe
   • README.TXT.pif
   • images.pif
   • Pics.ZIP.scr

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo puede tener una de las siguientes formas:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en el siguiente fichero:
   • %cada fichero *.htm%

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.

Suelta una copia suya en la siguiente carpeta compartida en la red:
   • %todas las carpetas compartidas%


Emplea la siguiente informacin de inicio de sesin para obtener el acceso al sistema remoto:

El siguiente nombre de usuario:
   • Administrator

El siguiente listado de contraseas:
   • zxcv; yxcv; xxx; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; Password; owner; oracle; mypc123; mypc;
      mypass123; mypass; love; login; Login; Internet; home; godblessyou;
      god; enable; database; computer; alpha; admin123; Admin; abcd; aaa;
      88888888; 2600; 2003; 2002; 123asd; 123abc; 123456789; 1234567;
      123123; 121212; 11111111; 110; 007; 00000000; 000000; pass; 54321;
      12345; password; passwd; server; sql; !@&; 035;$%^&*; !@&; 035;$%^&;
      !@&; 035;$%^; !@&; 035;$%; asdfgh; asdf; !@&; 035;$; 1234; 111; root;
      abc123; 12345678; abcdefg; abcdef; abc; 888888; 666666; 111111; admin;
      administrator; guest; 654321; 123456; 321; 123



Creacin de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia direccin. Luego intenta establecer una conexin con las direcciones generadas.

 Finalizacin de los procesos Termina los procesos que contienen las siguientes series de caracteres:
   • RISING; SKYNET; SYMANTEC; MCAFEE; GATE; RFW.EXE; RAVMON.EXE; KILL;
      NAV; DUBA; KAV


 Informaciones diversas Recursos compartidos en la red:
Ser creado el siguiente recurso compartido en la red:
   • %TEMPDIR%\


 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • ASPack 2.11

Descripción insertada por Andrei Gherman el lunes 1 de agosto de 2005
Descripción actualizada por Andrei Ivanes el martes 14 de marzo de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.