Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Lovgate.W.3
La date de la découverte:21/05/2004
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:118.784 Octets
Somme de contrôle MD5:b622c59dfb06aaa01382a7db6bfb9e75
Version VDF:6.25.00.74

 Général Méthodes de propagation:
   • Email
   • Le réseau local
   • Peer to Peer


Les alias:
   •  Symantec: W32.Lovgate.R@mm
   •  Mcafee: W32/Lovgate.x@MM
   •  Kaspersky: Email-Worm.Win32.LovGate.w
   •  Sophos: W32/Lovgate-V
   •  Grisoft: I-Worm/Lovgate.X
   •  VirusBuster: I-Worm.Lovgate.AP2
   •  Eset: Win32/Lovgate.Z
   •  Bitdefender: Win32.Lovgate.V@mm


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %lecteur système racine%\WINDOWS\SYSTRA.EXE
   • %lecteur système racine%\COMMAND.EXE
   • %lecteur système racine%\WINDOWS\System32\IEXPLORE.EXE
   • %lecteur système racine%\WINDOWS\System32\RAVMOND.exe
   • %lecteur système racine%\WINDOWS\System32\hxdef.exe
   • %lecteur système racine%\WINDOWS\System32\kernel66.dll



Il se copie dans des archives aux emplacements suivants :
   • %lecteur système racine%\WORK.ZIP
   • %lecteur système racine%\WORK.RAR
   • %lecteur système racine%\setup.ZIP
   • %lecteur système racine%\setup.RAR
   • %lecteur système racine%\Important.ZIP
   • %lecteur système racine%\Important.RAR
   • %lecteur système racine%\bak.ZIP
   • %lecteur système racine%\bak.RAR
   • %lecteur système racine%\letter.ZIP
   • %lecteur système racine%\letter.RAR
   • %lecteur système racine%\pass.ZIP
   • %lecteur système racine%\pass.RAR



Les fichiers suivants sont créés:

%lecteur système racine%\WINDOWS\System32\ODBC16.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Lovgate.W.DLL

%lecteur système racine%\WINDOWS\System32\msjdbc11.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Lovgate.W.DLL

%lecteur système racine%\WINDOWS\System32\MSSIGN30.DLL Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Lovgate.W.DLL

%lecteur système racine%\WINDOWS\System32\NetMeeting.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Lovgate.W.1

%lecteur système racine%\AUTORUN.INF

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
   • "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
   • "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Hardware Profile"="%SYSDIR%\hxdef.exe"



Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\_reg
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=Rundll32.exe msjdbc11.dll ondll_server
   • "DisplayName"="_reg"
   • "ObjectName"="LocalSystem"



La clé de registre suivante est ajoutée:

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="RAVMOND.exe"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:
Il utilise MAPI (Messaging Application Programming Interface) afin d'envoyer des messages de réponse aux emails stockés dans la boite aux lettres. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)
– Les adresses créées


Sujet:
Un des suivants:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System
   • hello
   • Re:%le sujet original%

En outre le sujet peut contenir des lettres aléatoires.


Corps:
–  Dans certains cas il peut contenir des caractères aléatoires.

 
Le corps de l'email est une des lignes:
   • Mail failed. For further assistance, please contact!
   • The message contains Unicode characters and has been sent as a binary attachment.
   • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
Le corps de l'email est le suivant:

   • %l'expéditeur original% wrote:
     ====
     %le corps original%
     ====
     %le domaine de l'expéditeur% account auto-reply
     
      If you can keep your head when all about you
      Are losing theirs and blaming it on you;
      If you can trust yourself when all men doubt you,
      But make allowance for their doubting too;
      If you can wait and not be tired by waiting,
      Or, being lied about,don't deal in lies,
      Or, being hated, don't give way to hating,
      And yet don't look too good, nor talk too wise;
      ... ... more look to the attachment.
     
      > Get your FREE %le domaine de l'expéditeur% now! <


Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • the hardcore game-.pif
   • Sex in Office.rm.scr
   • Deutsch BloodPatch!.exe
   • s3msong.MP3.pif
   • Me_nude.AVI.pif
   • How to Crack all gamez.exe
   • Macromedia Flash.scr
   • SETUP.EXE
   • Shakira.zip.exe
   • dreamweaver MX (crack).exe
   • StarWars2 - CloneAttack.rm.scr
   • Industry Giant II.exe
   • DSL Modem Uncapper.rar.exe
   • joke.pif
   • Britney spears nude.exe.txt.exe
   • I am For u.doc.exe
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document
   • %chaîne de caractères aléatoire%

    L'extension du fichier est une des suivantes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

L'attachement est une copie du malware lui-même.

La pièce jointe est une archive contenant une copie du virus



L'email ressemble à celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm
   • txt
   • tmp


La création des adresses pour les champs À et DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; brent; adam; ted; fred; jack; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      jim; maria; leo; jose; andrew; sam; george; david; kevin; mike; james;
      michael; alex; john

Il combine le résultat avec les domaines trouvés dans les fichiers qui ont été précédemment recherchés pour des adresses.

Le domaine est un de ceux qui suivent:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www; be_loyal:


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:  


Il recherche tous les dossiers partagés.

   En cas de succès, les fichiers suivants sont créés:
   • Support Tools.exe; Cain.pif; client.exe; Documents and
      Settings.txt.exe; findpass.exe; i386.exe; Internet Explorer.bat;
      Microsoft Office.exe; mmc.exe; MSDN.ZIP.pif; Support Tools.exe;
      Windows Media Player.zip.exe; WindowsUpdate.pif; winhlp32.exe;
      WinRAR.exe; xcopy.exe

   Ces fichiers sont copies du Malware.

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans le partage réseau suivant:
   • admin$\system32


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– La liste suivante de noms d'utilisateurs:
   • Guest
   • Administrator

– La liste suivante de mots de passe:
   • zxcv; yxcv; xxx; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; Password; owner; oracle; mypc123; mypc;
      mypass123; mypass; love; login; Login; Internet; home; godblessyou;
      god; enable; database; computer; alpha; admin123; Admin; abcd; aaa;
      88888888; 2600; 2004; 2003; 123asd; 123abc; 123456789; 1234567;
      123123; 121212; 11111111; 110; 007; 00000000; 000000; pass; 54321;
      12345; password; passwd; server; sql; !@; $%^&*; !@; $%^&; !@; $%^;
      !@; $%; asdfgh; asdf; !@; $; 1234; 111; root; abc123; 12345678;
      abcdefg; abcdef; abc; 888888; 666666; 111111; admin; administrator;
      guest; 654321; 123456


 Arrêt de processus: Les processus avec une des chaînes de caractères suivantes sont terminés:
   • RISING; SKYNET; SYMANTEC; MCAFEE; GATE; RFW.EXE; RAVMON.EXE; KILL;
      NAV; DUBA; KAV


La liste des services qui sont désactivés:
   • Rising Realtime Monitor Service
   • Symantec AntiVirus Server
   • Symantec AntiVirus Client

 Porte dérobée Le port suivant est ouvert:

%le dossier d'exécution du malware%\%le fichier exécuté% sur un port TCP aléatoire afin de fournir de capacités de porte dérobée

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Irina Boldea le mercredi 25 octobre 2006
Description mise à jour par Irina Boldea le lundi 6 novembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.