Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Lovgate.W.3
La date de la dcouverte:21/05/2004
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:118.784 Octets
Somme de contrle MD5:b622c59dfb06aaa01382a7db6bfb9e75
Version VDF:6.25.00.74

 Gnral Mthodes de propagation:
   • Email
   • Le rseau local
   • Peer to Peer


Les alias:
   •  Symantec: W32.Lovgate.R@mm
   •  Mcafee: W32/Lovgate.x@MM
   •  Kaspersky: Email-Worm.Win32.LovGate.w
   •  Sophos: W32/Lovgate-V
   •  Grisoft: I-Worm/Lovgate.X
   •  VirusBuster: I-Worm.Lovgate.AP2
   •  Eset: Win32/Lovgate.Z
   •  Bitdefender: Win32.Lovgate.V@mm


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre des fichiers malveillants
   • Il emploie son propre moteur de courrier lectronique
   • Il diminue les rglages de scurit
   • Il modifie des registres
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %lecteur systme racine%\WINDOWS\SYSTRA.EXE
   • %lecteur systme racine%\COMMAND.EXE
   • %lecteur systme racine%\WINDOWS\System32\IEXPLORE.EXE
   • %lecteur systme racine%\WINDOWS\System32\RAVMOND.exe
   • %lecteur systme racine%\WINDOWS\System32\hxdef.exe
   • %lecteur systme racine%\WINDOWS\System32\kernel66.dll



Il se copie dans des archives aux emplacements suivants :
   • %lecteur systme racine%\WORK.ZIP
   • %lecteur systme racine%\WORK.RAR
   • %lecteur systme racine%\setup.ZIP
   • %lecteur systme racine%\setup.RAR
   • %lecteur systme racine%\Important.ZIP
   • %lecteur systme racine%\Important.RAR
   • %lecteur systme racine%\bak.ZIP
   • %lecteur systme racine%\bak.RAR
   • %lecteur systme racine%\letter.ZIP
   • %lecteur systme racine%\letter.RAR
   • %lecteur systme racine%\pass.ZIP
   • %lecteur systme racine%\pass.RAR



Les fichiers suivants sont crs:

%lecteur systme racine%\WINDOWS\System32\ODBC16.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: Worm/Lovgate.W.DLL

%lecteur systme racine%\WINDOWS\System32\msjdbc11.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: Worm/Lovgate.W.DLL

%lecteur systme racine%\WINDOWS\System32\MSSIGN30.DLL Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: Worm/Lovgate.W.DLL

%lecteur systme racine%\WINDOWS\System32\NetMeeting.exe Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: Worm/Lovgate.W.1

%lecteur systme racine%\AUTORUN.INF

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
   • "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
   • "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Hardware Profile"="%SYSDIR%\hxdef.exe"



Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

HKLM\SYSTEM\CurrentControlSet\Services\_reg
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=Rundll32.exe msjdbc11.dll ondll_server
   • "DisplayName"="_reg"
   • "ObjectName"="LocalSystem"



La cl de registre suivante est ajoute:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="RAVMOND.exe"

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:
Il utilise MAPI (Messaging Application Programming Interface) afin d'envoyer des messages de rponse aux emails stocks dans la boite aux lettres. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.
Adresses gnres. Ne pas supposer pas que c'tait l'intention de l'expditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infect ou il est possible qu'il ne soit pas du tout infect. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous tes infect. Ceci pourrait galement ne pas tre le cas.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)
– Les adresses cres


Sujet:
Un des suivants:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System
   • hello
   • Re:%le sujet original%

En outre le sujet peut contenir des lettres alatoires.


Corps:
–  Dans certains cas il peut contenir des caractres alatoires.


Le corps de l'email est une des lignes:
   • Mail failed. For further assistance, please contact!
   • The message contains Unicode characters and has been sent as a binary attachment.
   • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
Le corps de l'email est le suivant:

   • %l'expditeur original% wrote:
     ====
     %le corps original%
     ====
     %le domaine de l'expditeur% account auto-reply
     
      If you can keep your head when all about you
      Are losing theirs and blaming it on you;
      If you can trust yourself when all men doubt you,
      But make allowance for their doubting too;
      If you can wait and not be tired by waiting,
      Or, being lied about,don't deal in lies,
      Or, being hated, don't give way to hating,
      And yet don't look too good, nor talk too wise;
      ... ... more look to the attachment.
     
      > Get your FREE %le domaine de l'expditeur% now! <


Pice jointe:
Le nom de fichier de l'attachement est un des suivants:
   • the hardcore game-.pif
   • Sex in Office.rm.scr
   • Deutsch BloodPatch!.exe
   • s3msong.MP3.pif
   • Me_nude.AVI.pif
   • How to Crack all gamez.exe
   • Macromedia Flash.scr
   • SETUP.EXE
   • Shakira.zip.exe
   • dreamweaver MX (crack).exe
   • StarWars2 - CloneAttack.rm.scr
   • Industry Giant II.exe
   • DSL Modem Uncapper.rar.exe
   • joke.pif
   • Britney spears nude.exe.txt.exe
   • I am For u.doc.exe
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document
   • %chane de caractres alatoire%

    L'extension du fichier est une des suivantes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

L'attachement est une copie du malware lui-mme.

La pice jointe est une archive contenant une copie du virus



L'email ressemble celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm
   • txt
   • tmp


La cration des adresses pour les champs et DE:
Pour produire des adresses il utilise les chanes de caractres suivantes:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; brent; adam; ted; fred; jack; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      jim; maria; leo; jose; andrew; sam; george; david; kevin; mike; james;
      michael; alex; john

Il combine le rsultat avec les domaines trouvs dans les fichiers qui ont t prcdemment recherchs pour des adresses.

Le domaine est un de ceux qui suivent:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www; be_loyal:


Ajoutez les chanes de caractres au dbut de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacit d'ajouter au dbut du nom de domaine les chanes de caractres suivantes:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 P2P Afin d'infecter d'autres systmes d'exploitation dans la communaut en rseau peer-to-peer, l'action suivante est entreprise:


Il recherche tous les dossiers partags.

   En cas de succs, les fichiers suivants sont crs:
   • Support Tools.exe; Cain.pif; client.exe; Documents and
      Settings.txt.exe; findpass.exe; i386.exe; Internet Explorer.bat;
      Microsoft Office.exe; mmc.exe; MSDN.ZIP.pif; Support Tools.exe;
      Windows Media Player.zip.exe; WindowsUpdate.pif; winhlp32.exe;
      WinRAR.exe; xcopy.exe

   Ces fichiers sont copies du Malware.

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.

Il s'autocopie dans le partage rseau suivant:
   • admin$\system32


Il emploie les informations d'identification suivantes afin de gagner accs la machine distante:

La liste suivante de noms d'utilisateurs:
   • Guest
   • Administrator

La liste suivante de mots de passe:
   • zxcv; yxcv; xxx; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; Password; owner; oracle; mypc123; mypc;
      mypass123; mypass; love; login; Login; Internet; home; godblessyou;
      god; enable; database; computer; alpha; admin123; Admin; abcd; aaa;
      88888888; 2600; 2004; 2003; 123asd; 123abc; 123456789; 1234567;
      123123; 121212; 11111111; 110; 007; 00000000; 000000; pass; 54321;
      12345; password; passwd; server; sql; !@; $%^&*; !@; $%^&; !@; $%^;
      !@; $%; asdfgh; asdf; !@; $; 1234; 111; root; abc123; 12345678;
      abcdefg; abcdef; abc; 888888; 666666; 111111; admin; administrator;
      guest; 654321; 123456


 Arrt de processus: Les processus avec une des chanes de caractres suivantes sont termins:
   • RISING; SKYNET; SYMANTEC; MCAFEE; GATE; RFW.EXE; RAVMON.EXE; KILL;
      NAV; DUBA; KAV


La liste des services qui sont dsactivs:
   • Rising Realtime Monitor Service
   • Symantec AntiVirus Server
   • Symantec AntiVirus Client

 Porte drobe Le port suivant est ouvert:

%le dossier d'excution du malware%\%le fichier excut% sur un port TCP alatoire afin de fournir de capacits de porte drobe

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Irina Boldea le mercredi 25 octobre 2006
Description mise à jour par Irina Boldea le lundi 6 novembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.