Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/LovGate.X.1
La date de la dcouverte:15/05/2006
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:23.552 Octets
Somme de contrle MD5:5d279f9a47a257d2804a926064d446c4
Version VDF:6.34.01.85
Version IVDF:6.34.01.86

 Gnral Mthode de propagation:
   • Le rseau local


Les alias:
   •  Kaspersky: Email-Worm.Win32.LovGate.x
   •  Sophos: W32/Lovgate-V
   •  VirusBuster: I-Worm.Lovgate.AP6
   •  Eset: Win32/Lovgate.Z
   •  Bitdefender: Win32.Lovgate.V@mm


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnrabilits de software

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\spollsv.exe

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Shell Extension"="%SYSDIR%\spollsv.exe"

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.


La vulnrabilit:
Il se sert de la vulnrabilit suivante:
– MS03-026 (Buffer Overrun in RPC Interface)


La cration des adresses IP:
Il cre des adresses IP alatoires, en utilisant seulement les premiers trois octets de sa propre adresse. Ensuite il essaye de contacter les adresses cres.


Le processus d'infection:
Il cre un script FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.

 Porte drobe Le port suivant est ouvert:

%SYSDIR%\spollsv.exe sur un port TCP alatoire afin de fournir un serveur FTP

Description insérée par Irina Boldea le vendredi 15 septembre 2006
Description mise à jour par Irina Boldea le lundi 18 septembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.