Nom:Worm/Lovgate.W
La date de la découverte:20/07/2005
Type:Ver
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:179.200 Octets
Somme de contrôle MD5:EE60B144AEA5AA8550FD3E0A873CFF2C
Version VDF:6.24.00.86

 Général Méthodes de propagation:
   • Email
   • Le réseau local


Les alias:
   •  Symantec: W32.HLLW.Lovgate.I@mm
   •  Mcafee: W32/Lovgate.w@M
   •  Kaspersky: Email-Worm.Win32.LovGate.gen
   •  TrendMicro: WORM_LOVGATE.W
   •  F-Secure: W32/Lovgate.W@mm
   •  Sophos: W32/Lovgate-AP
   •  Grisoft: I-Worm/Lovgate.X
   •  VirusBuster: I-Worm.Lovgate.BI
   •  Bitdefender: Win32.LovGate.W@mm


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il crée des fichiers malveillants
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\WinDriver.exe
   • %SYSDIR%\Winexe.exe
   • %SYSDIR%\WinGate.exe
   • %SYSDIR%\RAVMOND.exe
   • %SYSDIR%\IEXPLORE.EXE
   • %TEMPDIR%\%chaîne de caractères aléatoire%
   • c:\SysBoot.EXE
   • %WINDIR%\SYSTRA.EXE
   • %SYSDIR%\WinHelp.exe



Il crée sa propre copie en employant un nom de fichier d'une liste:
– A: %tous les dossiers partagés% employant un des noms suivants:
   • Are you looking for Love.doc.exe
   • autoexec.bat
   • The world of lovers.txt.exe
   • How To Hack Websites.exe
   • Panda Titanium Crack.zip.exe
   • Mafia Trainer!!!.exe
   • 100 free essays school.pif
   • AN-YOU-SUCK-IT.txt.pif
   • Sex_For_You_Life.JPG.pif
   • CloneCD + crack.exe
   • Age of empires 2 crack.exe
   • MoviezChannelsInstaler.exe
   • Star Wars II Movie Full Downloader.exe
   • Winrar + crack.exe
   • SIMS FullDownloader.zip.exe
   • MSN Password Hacker and Stealer.exe




Les fichiers suivants sont créés:

– c:\AUTORUN.INF Ceci est un fichier texte non malveillant avec le contenu suivant:
   • [AUTORUN]
     Open="C:\SysBoot.EXE" /StartExplorer

%SYSDIR%\kernel66.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
%SYSDIR%\ily668.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
%SYSDIR%\task668.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
%SYSDIR%\reg667.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\software\microsoft\windows\currentversion\run\]
   • "WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
   • "Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
   • "WinHelp"="%SYSDIR%\WinHelp.exe"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"

– [HKLM\software\microsoft\windows\currentversion\runservices\]
   • "SystemTra"="%WINDIR%\SysTra.EXE /SysTra:Kernel32.Dll"



La clé de registre suivante est ajoutée:

– [HKCU\software\microsoft\windows nt\currentversion\windows\]
   • "DebugOptions"="2048"
   • "Documents"=""
   • "DosPrint"="no"
   • "load"=""
   • "NetMessage"="no"
   • "NullPort"="None"
   • "Programs"="com exe bat pif cmd"
   • "run"="RAVMOND.exe"



La clé de registre suivante est changée:

– [HKCR\exefile\shell\open\command]
   L'ancienne valeur:
   • @="\"%1\" %*"
   La nouvelle valeur:
   • @="%SYSDIR%\winexe.exe \"%1\" %*"

 Email Il utilise Microsoft Outlook pour envoyer des emails. Les caractéristiques sont décrites ci-dessous:
Il utilise MAPI (Messaging Application Programming Interface) afin d'envoyer des messages de réponse aux emails stockés dans la boite aux lettres. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est le compte Outlook de l'utilisateur.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.


Sujet:
Un des suivants:
   • "Reply to this!"
   • "Let's Laugh"
   • "Last Update"
   • "for you"
   • "Great"
   • "Help"
   • "Attached one Gift for u.."
   • "Hi Dear"
   • "See the attachement"



Corps:
Le corps de l'email est une des lignes:
   • For further assistance, please contact!
   • Copy of your message, including all the headers is attached.
   • This is the last cumulative update.
   • Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
   • Send reply if you want to be official beta tester.
   • This message was created automatically by mail delivery software (Exim).
   • It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
   • Adult content!!! Use with parental advisory.
   • Patrick Ewing will give Knick fans something to cheer about Friday night.
   • Send me your comments...


Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • About_Me.txt.pif
   • driver.exe
   • Doom3 Preview!!!.exe
   • enjoy.exe
   • YOU_are_FAT!.TXT.pif
   • Source.exe
   • Interesting.exe
   • README.TXT.pif
   • images.pif
   • Pics.ZIP.scr

L'attachement est une copie du malware lui-même.



L'email pourrait ressembler à un des suivants:


 Envoie de messages Recherche des adresses:
Il cherche le fichier suivant pour des adresses email:
   • %chaque ficher *.htm %

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans le partage réseau suivant:
   • %tous les dossiers partagés%


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– Le nom d'utilisateur suivant:
   • Administrator

– La liste suivante de mots de passe:
   • zxcv; yxcv; xxx; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; Password; owner; oracle; mypc123; mypc;
      mypass123; mypass; love; login; Login; Internet; home; godblessyou;
      god; enable; database; computer; alpha; admin123; Admin; abcd; aaa;
      88888888; 2600; 2003; 2002; 123asd; 123abc; 123456789; 1234567;
      123123; 121212; 11111111; 110; 007; 00000000; 000000; pass; 54321;
      12345; password; passwd; server; sql; !@&; 035;$%^&*; !@&; 035;$%^&;
      !@&; 035;$%^; !@&; 035;$%; asdfgh; asdf; !@&; 035;$; 1234; 111; root;
      abc123; 12345678; abcdefg; abcdef; abc; 888888; 666666; 111111; admin;
      administrator; guest; 654321; 123456; 321; 123



La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.

 Arrêt de processus: Les processus avec une des chaînes de caractères suivantes sont terminés:
   • RISING; SKYNET; SYMANTEC; MCAFEE; GATE; RFW.EXE; RAVMON.EXE; KILL;
      NAV; DUBA; KAV


 Informations divers Les partages réseau:
Le partage réseau suivant sera créé:
   • %TEMPDIR%\


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • ASPack 2.11

Description insérée par Andrei Gherman le lundi 1 août 2005
Description mise à jour par Andrei Ivanes le mardi 14 mars 2006

Retour . . . .