Descripción completa

Nombre:	Worm/Lovgate.AU.2
Descubierto:	01/07/2004
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio-alto
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	143.360 Bytes
Suma de control MD5:	ebb2e4a8c367e6d0967ac89ef89580cd
Versión del VDF:	6.26.00.12

General Métodos de propagación:
   • Correo electrónico
   • Red local

Alias:
   • Symantec: W32.Lovgate.X@mm
   • Mcafee: W32/Lovgate.ac@MM
   • Kaspersky: Email-Worm.Win32.LovGate.ad
   • Sophos: W32/Lovgate-F
   • Grisoft: I-Worm/Lovgate
   • Bitdefender: Win32.LovGate.AC@mm

Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\realsched.exe
   • %SYSDIR%\vptray.exe
   • %SYSDIR%\hxdef.exe
   • %SYSDIR%\RAVMOD.exe
   • %SYSDIR%\IEXPLORE.EXE
   • %SYSDIR%\kernel66.dll
   • %WINDIR%\SYSTRA.EXE
   • %disquetera%\COMMAND.EXE

Crea los siguientes ficheros:

– %disquetera%\AUTORUN.INF Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • [AUTORUN]
     Open="%disquetera%\COMMAND.EXE" /StartExplorer

– %directorio donde se ejecuta el programa viral%\results.txt
– %SYSDIR%\ODBC16.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Lovgate.W.2

– %SYSDIR%\msjdbc11.dll Detectado como: Worm/Lovgate.W.2

– %SYSDIR%\LMMIB20.DLL Detectado como: Worm/Lovgate.W.2

– %SYSDIR%\MSSIGN30.DLL Detectado como: Worm/Lovgate.W.2

– %SYSDIR%\NetMeeting.exe Detectado como: Worm/Lovgate.W.1

– %WINDIR%\suchost.exe Detectado como: Worm/Lovgate.AU.1

Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • rundll.exe
Ejecuta el fichero con los parámetros siguientes: %fichero dll viral% ondll_reg

– Ejecuta uno de los ficheros siguientes:
   • rundll.exe
Ejecuta el fichero con los parámetros siguientes: %fichero dll viral% ondll_install

Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WinHelp"="%SYSDIR%\realsched.exe"
   • "Hardware Profile"="%SYSDIR%\hxdef.exe"
   • "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices]
   • "SystemTra"="%WINDIR%\SysTra.EXE"

Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\_reg]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="Rundll32.exe msjdbc11.dll ondll_server"
   • "DisplayName"="_reg"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\_reg\Security]
   • "Security"=%valores hex%

Añade las siguientes claves al registro:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="RAVMOND.exe"

– [HKCR\txtfile\shell\open\command]
   • @="vptray.exe %1"

Infección de ficheros El siguiente archivo se ha infectado:

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

De:
La dirección del remitente es falsa.
La dirección del remitente es la cuenta de Outlook del usuario.

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.

Asunto:
Uno de los siguientes:
   • ERROR
   • hello
   • hi
   • Mail Delivery System
   • Mail TRansaction Failed
   • Server Report
   • Status
   • TEST

En algunos casos el campo del asunto está vacío.
Además, el campo del asunto podría incluir caracteres aleatorios.

El cuerpo del mensaje:
– En algunos casos puede estar vacío.
– En algunos casos puede incluir caracteres aleatorios.
El cuerpo del mensaje de correo es uno de los siguientes:
   • Mail failed. For further assistance, please contact!
   • The message contains Unicode characters and has been sent as a binary attachment.
   • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
   • pass

Archivo adjunto:

   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %serie de caracteres aleatorios%

   • bat
   • cmd
   • exe
   • pif
   • scr
   • zip
   •

El archivo adjunto es una copia del propio programa malicioso.

Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .htm
   • .sht
   • .php
   • .asp
   • .dbx
   • .tbb
   • .adb
   • .wab

Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • accoun; certific; listserv; ntivi; support; icrosoft; the.bat;
      gold-certs; feste; submit; service; privacy; somebody; contact;
      rating; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; be_loyal:; mozilla; utgers.ed; tanford.e;
      acketst; secur; isc.o; isi.e; ripe.; arin.; sendmail; rfc-ed; usenet;
      linux; kernel; google; ibm.com; mit.e; berkeley; ruslis; nodomai;
      mydomai; example; inpris; borlan; sopho; panda; hotmail; icrosof;
      -._!@; abuse

Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • \%ordenadores en el dominio corriente%\%todas las carpetas compartidas%\WinRAR.exe
   • \%ordenadores en el dominio corriente%\%todas las carpetas compartidas%\Internet Explorer.bat
   • \%ordenadores en el dominio corriente%\%todas las carpetas compartidas%\Documents and Settings.txt.exe
   • \%ordenadores en el dominio corriente%\%todas las carpetas compartidas%\Microsoft Office.exe
   • \%ordenadores en el dominio corriente%\%todas las carpetas compartidas%\Windows Media Player.zip.exe
   • \%ordenadores en el dominio corriente%\%todas las carpetas compartidas%\Support Tools.exe
   • \%ordenadores en el dominio corriente%\%todas las carpetas compartidas%\WindowsUpdate.pif
   • \%ordenadores en el dominio corriente%\%todas las carpetas compartidas%\Cain.pif
   • \%ordenadores en el dominio corriente%\%todas las carpetas compartidas%\MSDN.ZIP.pif
   • \%ordenadores en el dominio corriente%\%todas las carpetas compartidas%\autoexec.bat
   • \%ordenadores en el dominio corriente%\%todas las carpetas compartidas%\findpass.exe
   • \%ordenadores en el dominio corriente%\%todas las carpetas compartidas%\client.exe
   • \%ordenadores en el dominio corriente%\%todas las carpetas compartidas%\i386.exe
   • \%ordenadores en el dominio corriente%\%todas las carpetas compartidas%\winhlp32.exe
   • \%ordenadores en el dominio corriente%\%todas las carpetas compartidas%\xcopy.exe
   • \%ordenadores en el dominio corriente%\%todas las carpetas compartidas%\mmc.exe

Creación de direcciones IP:
Genera direcciones IP aleatorias, guardando solamente los primeros tres octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones creadas.

Finalización de los procesos Listado de los procesos finalizados:
• KV; KAV; Duba; NAV; kill; RavMon.exe; Rfw.exe; Gate; McAfee; Symantec;
SkyNet; rising

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Andrei Ivanes el viernes 2 de junio de 2006
Descripción actualizada por Andrei Ivanes el viernes 2 de junio de 2006

Volver . . . .