Nom:Worm/Lovgate.AU.2
La date de la découverte:01/07/2004
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:143.360 Octets
Somme de contrôle MD5:ebb2e4a8c367e6d0967ac89ef89580cd
Version VDF:6.26.00.12

 Général Méthodes de propagation:
   • Email
   • Le réseau local


Les alias:
   •  Symantec: W32.Lovgate.X@mm
   •  Mcafee: W32/Lovgate.ac@MM
   •  Kaspersky: Email-Worm.Win32.LovGate.ad
   •  Sophos: W32/Lovgate-F
   •  Grisoft: I-Worm/Lovgate
   •  Bitdefender: Win32.LovGate.AC@mm


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\realsched.exe
   • %SYSDIR%\vptray.exe
   • %SYSDIR%\hxdef.exe
   • %SYSDIR%\RAVMOD.exe
   • %SYSDIR%\IEXPLORE.EXE
   • %SYSDIR%\kernel66.dll
   • %WINDIR%\SYSTRA.EXE
   • %lecteur%\COMMAND.EXE



Les fichiers suivants sont créés:

%lecteur%\AUTORUN.INF Ceci est un fichier texte non malveillant avec le contenu suivant:
   • [AUTORUN]
     Open="%lecteur%\COMMAND.EXE" /StartExplorer

%le dossier d'exécution du malware%\results.txt
%SYSDIR%\ODBC16.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Lovgate.W.2

%SYSDIR%\msjdbc11.dll Détecté comme: Worm/Lovgate.W.2

%SYSDIR%\LMMIB20.DLL Détecté comme: Worm/Lovgate.W.2

%SYSDIR%\MSSIGN30.DLL Détecté comme: Worm/Lovgate.W.2

%SYSDIR%\NetMeeting.exe Détecté comme: Worm/Lovgate.W.1

%WINDIR%\suchost.exe Détecté comme: Worm/Lovgate.AU.1




Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
   • rundll.exe
Il exécute le fichier avec les paramètres suivantes : %ficher dll viral% ondll_reg


– Nom de fichier: Noms des fichiers:
   • rundll.exe
Il exécute le fichier avec les paramètres suivantes : %ficher dll viral% ondll_install

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WinHelp"="%SYSDIR%\realsched.exe"
   • "Hardware Profile"="%SYSDIR%\hxdef.exe"
   • "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices]
   • "SystemTra"="%WINDIR%\SysTra.EXE"



Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\_reg]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="Rundll32.exe msjdbc11.dll ondll_server"
   • "DisplayName"="_reg"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\_reg\Security]
   • "Security"=%valeurs hexa%



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="RAVMOND.exe"

– [HKCR\txtfile\shell\open\command]
   • @="vptray.exe %1"

 Infecteur Le fichier suivant est contaminé :

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
L'adresse de l'expéditeur est le compte Outlook de l'utilisateur.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.


Sujet:
Un des suivants:
   • ERROR
   • hello
   • hi
   • Mail Delivery System
   • Mail TRansaction Failed
   • Server Report
   • Status
   • TEST

Dans certains cas, le sujet pourrait également être vide.
En outre le sujet peut contenir des lettres aléatoires.


Corps:
–  Dans certains cas, il peut être vide.
–  Dans certains cas il peut contenir des caractères aléatoires.

 
Le corps de l'email est une des lignes:
   • Mail failed. For further assistance, please contact!
   • The message contains Unicode characters and has been sent as a binary attachment.
   • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
   • pass


Pièce jointe:

   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %chaîne de caractères aléatoire%

   • bat
   • cmd
   • exe
   • pif
   • scr
   • zip
   •

L'attachement est une copie du malware lui-même.

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .htm
   • .sht
   • .php
   • .asp
   • .dbx
   • .tbb
   • .adb
   • .wab


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • accoun; certific; listserv; ntivi; support; icrosoft; the.bat;
      gold-certs; feste; submit; service; privacy; somebody; contact;
      rating; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; be_loyal:; mozilla; utgers.ed; tanford.e;
      acketst; secur; isc.o; isi.e; ripe.; arin.; sendmail; rfc-ed; usenet;
      linux; kernel; google; ibm.com; mit.e; berkeley; ruslis; nodomai;
      mydomai; example; inpris; borlan; sopho; panda; hotmail; icrosof;
      -._!@; abuse


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • \%ordinateurs dans le domaine actuel%\%tous les dossiers partagés%\WinRAR.exe
   • \%ordinateurs dans le domaine actuel%\%tous les dossiers partagés%\Internet Explorer.bat
   • \%ordinateurs dans le domaine actuel%\%tous les dossiers partagés%\Documents and Settings.txt.exe
   • \%ordinateurs dans le domaine actuel%\%tous les dossiers partagés%\Microsoft Office.exe
   • \%ordinateurs dans le domaine actuel%\%tous les dossiers partagés%\Windows Media Player.zip.exe
   • \%ordinateurs dans le domaine actuel%\%tous les dossiers partagés%\Support Tools.exe
   • \%ordinateurs dans le domaine actuel%\%tous les dossiers partagés%\WindowsUpdate.pif
   • \%ordinateurs dans le domaine actuel%\%tous les dossiers partagés%\Cain.pif
   • \%ordinateurs dans le domaine actuel%\%tous les dossiers partagés%\MSDN.ZIP.pif
   • \%ordinateurs dans le domaine actuel%\%tous les dossiers partagés%\autoexec.bat
   • \%ordinateurs dans le domaine actuel%\%tous les dossiers partagés%\findpass.exe
   • \%ordinateurs dans le domaine actuel%\%tous les dossiers partagés%\client.exe
   • \%ordinateurs dans le domaine actuel%\%tous les dossiers partagés%\i386.exe
   • \%ordinateurs dans le domaine actuel%\%tous les dossiers partagés%\winhlp32.exe
   • \%ordinateurs dans le domaine actuel%\%tous les dossiers partagés%\xcopy.exe
   • \%ordinateurs dans le domaine actuel%\%tous les dossiers partagés%\mmc.exe


La création des adresses IP:
Il crée des adresses IP aléatoires, en utilisant seulement les premiers trois octets de sa propre adresse. Ensuite il essaye de contacter les adresses crées.

 Arrêt de processus: La liste des processus qui sont terminés:
   • KV; KAV; Duba; NAV; kill; RavMon.exe; Rfw.exe; Gate; McAfee; Symantec;
      SkyNet; rising


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Ivanes le vendredi 2 juin 2006
Description mise à jour par Andrei Ivanes le vendredi 2 juin 2006

Retour . . . .