¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/LovGate.X.1
Descubierto:15/05/2006
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Bajo
Fichero estático:
Tamaño:23.552 Bytes
Suma de control MD5:5d279f9a47a257d2804a926064d446c4
Versión del VDF:6.34.01.85
Versión del IVDF:6.34.01.86

 General Método de propagación:
   • Red local


Alias:
   •  Kaspersky: Email-Worm.Win32.LovGate.x
   •  Sophos: W32/Lovgate-V
   •  VirusBuster: I-Worm.Lovgate.AP6
   •  Eset: Win32/Lovgate.Z
   •  Bitdefender: Win32.Lovgate.V@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\spollsv.exe

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Shell Extension"="%SYSDIR%\spollsv.exe"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea la siguiente brecha de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)


Creación de direcciones IP:
Genera direcciones IP aleatorias, guardando solamente los primeros tres octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones creadas.


Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%SYSDIR%\spollsv.exe en un puerto TCP aleatorio para funcionar como servidor FTP.

Descripción insertada por Irina Boldea el viernes, 15 de septiembre de 2006
Descripción actualizada por Irina Boldea el lunes, 18 de septiembre de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.