Nombre:Worm/Lovgate.W.1
Descubierto:05/04/2004
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Bajo
Fichero estático:
Tamaño:61.440 Bytes
Suma de control MD5:068ab7aff165eaf4a6b5d1f5efc5779d
Versión del VDF:6.24.00.87

 General Método de propagación:
   • Red local


Alias:
   •  Symantec: W32.Lovgate.R@mm
   •  Mcafee: W32/Lovgate.x@MM
   •  Kaspersky: Email-Worm.Win32.LovGate.x
   •  TrendMicro: WORM_LOVGATE.V
   •  Sophos: W32/Lovgate-V
   •  Grisoft: I-Worm/Lovgate.X
   •  VirusBuster: I-Worm.Lovgate.AP
   •  Eset: Win32/Lovgate.Z
   •  Bitdefender: Win32.Lovgate.V@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\spollsv.exe

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Shell Extension"="%SYSDIR%\spollsv.exe"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea la siguiente brecha de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)


Creación de direcciones IP:
Genera direcciones IP aleatorias, guardando solamente los primeros tres octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones creadas.


Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%SYSDIR%\spollsv.exe en un puerto TCP aleatorio para funcionar como servidor FTP.

Descripción insertada por Irina Boldea el miércoles 17 de mayo de 2006
Descripción actualizada por Irina Boldea el miércoles 17 de mayo de 2006

Volver . . . .