¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Lovgate.V
Descubierto:04/04/2004
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-alto
Potencial daino:Medio
Fichero esttico:S
Tamao:126.976 Bytes
Suma de control MD5:183597d85245115814705d4c6976421e
Versin del VDF:6.24.00.84

 General Mtodos de propagacin:
   • Correo electrnico
   • Red local


Alias:
   •  Symantec: W32.Lovgate.R@mm
   •  Mcafee: W32/Lovgate.x@MM
   •  Kaspersky: Email-Worm.Win32.LovGate.w
   •  TrendMicro: WORM_LOVGATE.V
   •  Sophos: W32/Lovgate-V
   •  Grisoft: I-Worm/Lovgate.S
   •  VirusBuster: I-Worm.Lovgate.AL
   •  Eset: Win32/Lovgate.Z
   •  Bitdefender: Win32.Lovgate.V@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dainos
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %raz de la particin del sistema%\WINDOWS\SYSTRA.EXE
   • %raz de la particin del sistema%\COMMAND.EXE
   • %raz de la particin del sistema%\WINDOWS\System32\IEXPLORE.EXE
   • %raz de la particin del sistema%\WINDOWS\System32\RAVMOND.exe
   • %raz de la particin del sistema%\WINDOWS\System32\hxdef.exe
   • %raz de la particin del sistema%\WINDOWS\System32\kernel66.dll



Se copia a s mismo en un archivo en las siguientes ubicaciones:
   • %raz de la particin del sistema%\WORK.ZIP
   • %raz de la particin del sistema%\WORK.RAR
   • %raz de la particin del sistema%\setup.ZIP
   • %raz de la particin del sistema%\setup.RAR
   • %raz de la particin del sistema%\Important.ZIP
   • %raz de la particin del sistema%\Important.RAR
   • %raz de la particin del sistema%\bak.ZIP
   • %raz de la particin del sistema%\bak.RAR
   • %raz de la particin del sistema%\letter.ZIP
   • %raz de la particin del sistema%\letter.RAR
   • %raz de la particin del sistema%\pass.ZIP
   • %raz de la particin del sistema%\pass.RAR



Crea los siguientes ficheros:

%raz de la particin del sistema%\WINDOWS\System32\ODBC16.dll Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Lovgate.W.2

%raz de la particin del sistema%\WINDOWS\System32\msjdbc11.dll Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Lovgate.W.2

%raz de la particin del sistema%\WINDOWS\System32\MSSIGN30.DLL Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Lovgate.W.2

%raz de la particin del sistema%\WINDOWS\System32\NetMeeting.exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Lovgate.W.1

%raz de la particin del sistema%\AUTORUN.INF

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
   • "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
   • "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Hardware Profile"="%SYSDIR%\hxdef.exe"



Aade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

HKLM\SYSTEM\CurrentControlSet\Services\_reg
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=Rundll32.exe msjdbc11.dll ondll_server
   • "DisplayName"="_reg"
   • "ObjectName"="LocalSystem"



Aade la siguiente clave al registro:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="RAVMOND.exe"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:
Emplea Messaging Application Programming Interface (MAPI) para enviar respuestas a los mensajes almacenados en la bandeja de entrada. Sus caractersticas estn descritas a continuacin:


De:
La direccin del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intencin del remitente enviarle este mensaje de correo. Es posible que dicho remitente no est al tanto de la infeccin o no est infectado. Adems, es posible que usted reciba mensajes devueltos, indicndole que est infectado. Esto tambin podra ser falso.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System
   • hello
   • Re:%asunto original%

Adems, el campo del asunto podra incluir caracteres aleatorios.


El cuerpo del mensaje:
–  En algunos casos puede incluir caracteres aleatorios.
El cuerpo del mensaje de correo es uno de los siguientes:
   • Mail failed. For further assistance, please contact!
   • The message contains Unicode characters and has been sent as a binary attachment.
   • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
El cuerpo del mensaje es el siguiente:

   • %remitente original% wrote:
     ====
     %cuerpo original del mensaje%
     ====
     %dominio del remitente% account auto-reply
     
      If you can keep your head when all about you
      Are losing theirs and blaming it on you;
      If you can trust yourself when all men doubt you,
      But make allowance for their doubting too;
      If you can wait and not be tired by waiting,
      Or, being lied about,don't deal in lies,
      Or, being hated, don't give way to hating,
      And yet don't look too good, nor talk too wise;
      ... ... more look to the attachment.
     
      > Get your FREE %dominio del remitente% now! <


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • the hardcore game-.pif
   • Sex in Office.rm.scr
   • Deutsch BloodPatch!.exe
   • s3msong.MP3.pif
   • Me_nude.AVI.pif
   • How to Crack all gamez.exe
   • Macromedia Flash.scr
   • SETUP.EXE
   • Shakira.zip.exe
   • dreamweaver MX (crack).exe
   • StarWars2 - CloneAttack.rm.scr
   • Industry Giant II.exe
   • DSL Modem Uncapper.rar.exe
   • joke.pif
   • Britney spears nude.exe.txt.exe
   • I am For u.doc.exe
El nombre del fichero adjunto est compuesto de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document
   • %serie de caracteres aleatorios%

    La extensin del fichero es una de las siguientes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

El archivo adjunto es una copia del propio programa malicioso.

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo se ve as:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm
   • txt
   • tmp


Creacin de direcciones para los campos A (destinatario) y DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; brent; adam; ted; fred; jack; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      jim; maria; leo; jose; andrew; sam; george; david; kevin; mike; james;
      michael; alex; john

Combina este resultado con los dominios encontrados en los ficheros donde ha buscado direcciones anteriormente.

El dominio es uno de los siguientes:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www; be_loyal:


Prefijar los dominios de las direcciones de correo:
Para obtener la direccin IP del servidor de correo, aade los siguientes prefijos al nombre del dominio:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones: Busca todas las carpetas compartidas en la red.

   Al tener xito, crea los siguientes ficheros:
   • WinRAR.exe; Internet Explorer.bat; Documents and Settings.txt.exe;
      Microsoft Office.exe; Windows Media Player.zip.exe; Support Tools.exe;
      WindowsUpdate.pif; Cain.pif; MSDN.ZIP.pif; autoexec.bat; findpass.exe;
      client.exe; i386.exe; winhlp32.exe; xcopy.exe; mmc.exe

   Estos ficheros son copias del programa malicioso.

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.

Suelta una copia suya en la siguiente carpeta compartida en la red:
   • admin$\system32


Emplea la siguiente informacin de inicio de sesin para obtener el acceso al sistema remoto:

El siguiente listado de nombres de usuario:
   • Guest
   • Administrator

El siguiente listado de contraseas:
   • zxcv; yxcv; xxx; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; Password; owner; oracle; mypc123; mypc;
      mypass123; mypass; love; login; Login; Internet; home; godblessyou;
      god; enable; database; computer; alpha; admin123; Admin; abcd; aaa;
      88888888; 2600; 2004; 2003; 123asd; 123abc; 123456789; 1234567;
      123123; 121212; 11111111; 110; 007; 00000000; 000000; pass; 54321;
      12345; password; passwd; server; sql; !@; $%^&*; !@; $%^&; !@; $%^;
      !@; $%; asdfgh; asdf; !@; $; 1234; 111; root; abc123; 12345678;
      abcdefg; abcdef; abc; 888888; 666666; 111111; admin; administrator;
      guest; 654321; 123456


 Finalizacin de los procesos Termina los procesos que contienen las siguientes series de caracteres:
   • RISING; SKYNET; SYMANTEC; MCAFEE; GATE; RFW.EXE; RAVMON.EXE; KILL;
      NAV; DUBA; KAV


Listado de los servicios desactivados:
   • Rising Realtime Monitor Service
   • Symantec AntiVirus Server
   • Symantec AntiVirus Client

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%directorio donde se ejecuta el programa viral%\%ficheros ejecutados% en un puerto TCP aleatorio para proporcionar capabilidades de backdoor.

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • UPX

Descripción insertada por Irina Boldea el martes 16 de mayo de 2006
Descripción actualizada por Irina Boldea el lunes 5 de junio de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.