Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Lovgate.F
La date de la dcouverte:13/05/2003
Type:Ver
En circulation:Oui
Infections signales Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:107.008 Octets
Somme de contrle MD5:5d73aba7169ebfd2bdfd99437d5d8b11
Version IVDF:6.19.00.15 - mardi 13 mai 2003

 Gnral Mthodes de propagation:
   • Email
   • Le rseau local


Les alias:
   •  Symantec: W32.HLLW.Lovgate.G@mm
   •  Mcafee: W32/Lovgate.f@M
   •  Kaspersky: Email-Worm.Win32.LovGate.f
   •  F-Secure: W32/Lovgate.F@mm
   •  Sophos: W32/Lovgate-E
   •  Panda: W32/Lovgate.F
   •  Eset: Win32/Lovgate.G
   •  Bitdefender: Win32.LovGate.F@mm


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre des fichiers malveillants
   • Il emploie son propre moteur de courrier lectronique
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\IEXPLORE.EXE
   • %SYSDIR%\kernel66.dll
   • %SYSDIR%\RAVMOND.exe
   • %SYSDIR%\WinDriver.exe
   • %SYSDIR%\WinGate.exe
   • %SYSDIR%\WinHelp.exe
   • %SYSDIR%\winrpc.exe



Les fichiers suivants sont crs:

%SYSDIR%\111.dll (81920 bytes) Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: Worm/Lovgate.F.2

%SYSDIR%\ily668.dll (81920 bytes) Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: Worm/Lovgate.F.2

%SYSDIR%\reg678.dll (81920 bytes) Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: Worm/Lovgate.F.2

%SYSDIR%\Task688.dll (81920 bytes) Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: Worm/Lovgate.F.2

 Registre On ajoute une des valeurs suivantes afin de lancer le processus aprs le redmarrage:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WinHelp"="%SYSDIR%\WinHelp.exe"
   • "WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
   • "Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"



Les cls de registre suivantes sont ajoutes afin de charger les services aprs le redmarrage:

[HKLM\SYSTEM\CurrentControlSet\Services\ll_reg]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=Rundll32.exe Task688.dll ondll_server
     "DisplayName"="ll_reg"
     "ObjectName"="LocalSystem"

[HKLM\SYSTEM\CurrentControlSet\Services\
   NetMeeting Remote Desktop (RPC) Sharing]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=Rundll32.exe Task688.dll ondll_server
     "DisplayName"="NetMeeting Remote Desktop (RPC) Sharing"
     "ObjectName"="LocalSystem"

[HKLM\SYSTEM\CurrentControlSet\Services\
   Windows Management Instrumentation Driver Extension]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=%SYSDIR%\WinDriver.exe -start_server
     "DisplayName"="Windows Management Instrumentation Driver Extension"
     "ObjectName"="LocalSystem"



Les cls de registre suivantes sont changes:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   La nouvelle valeur:
   • "run"="RAVMOND.exe"

[HKLM\SOFTWARE\Classes\txtfile\shell\open\command]
   La nouvelle valeur:
   • @="winrpc.exe %1"

 Email Il contient un moteur SMTP intgr pour envoyer des emails SPAM. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:
Il utilise MAPI (Messaging Application Programming Interface) afin d'envoyer des messages de rponse aux emails stocks dans la boite aux lettres. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.
L'adresse de l'expditeur est le compte Outlook de l'utilisateur.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Un des suivants:
   • Reply to this!
   • Let's Laugh
   • Last Update
   • for you
   • Great
   • Help
   • Attached one Gift for u..
   • Hi Dear
   • Hi
   • See the attachement



Corps:
Le corps de l'email est une des lignes:
   • For further assistance, please contact!
   • Copy of your message, including all the headers is attached.
   • This is the last cumulative update.
   • Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
   • Send reply if you want to be official beta tester.
   • This message was created automatically by mail delivery software (Exim).
   • It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
   • Adult content!!! Use with parental advisory.
   • Patrick Ewing will give Knick fans something to cheer about Friday night.
   • Send me your comments...


Pice jointe:
Le nom de fichier de l'attachement est un des suivants:
   • About_Me.txt.pif
   • driver.exe
   • Doom3 Preview!!!.exe
   • enjoy.exe
   • YOU_are_FAT!.TXT.pif
   • Source.exe
   • Interesting.exe
   • README.TXT.pif
   • images.pif
   • Pics.ZIP.scr

L'attachement est une copie du malware lui-mme.

 Envoie de messages Recherche des adresses:
Il cherche le fichier suivant pour des adresses email:
   • *.ht*


Serveur MX:
Il a la capacit de contacter le serveur MX:
   • smtp.163.com

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.

Il s'autocopie dans les partages rseau suivants:
   • Are you looking for Love.doc.exe
   • autoexec.bat
   • The world of lovers.txt.exe
   • How To Hack Websites.exe
   • Panda Titanium Crack.zip.exe
   • Mafia Trainer!!!.exe
   • 100 free essays school.pif
   • AN-YOU-SUCK-IT.txt.pif
   • Sex_For_You_Life.JPG.pif
   • CloneCD + crack.exe
   • Age of empires 2 crack.exe
   • MoviezChannelsInstaler.exe
   • Star Wars II Movie Full Downloader.exe
   • Winrar + crack.exe
   • SIMS FullDownloader.zip.exe
   • MSN Password Hacker and Stealer.exe


Il emploie les informations d'identification suivantes afin de gagner accs la machine distante:

La liste suivante de noms d'utilisateurs:
   • Guest
   • Administrator

La liste suivante de mots de passe:
   • zxcv; yxcv; xxx; xp; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; pw; pc; Password; owner; oracle; mypc123;
      mypc; mypass123; mypass; love; login; Login; Internet; home;
      godblessyou; god; enable; database; computer; alpha; admin123; Admin;
      abcd; aaa; aa; 88888888; 2600; 2003; 2002; 123asd; 123abc; 123456789;
      1234567; 123123; 121212; 12; 11111111; 110; 007; 00000000; 000000; 0;
      pass; 54321; 12345; password; passwd; server; sql; !@; $%^&*; !@;
      $%^&; !@; $%^; !@; $%; asdfgh; asdf; !@; $; 1234; 111; 11; root;
      abc123; 12345678; abcdefg; abcdef; abc; 888888; 666666; 111111; admin;
      administrator; guest; 654321; 123456; 321; 123



La cration des adresses IP:
Il cre des adresses IP alatoires, en utilisant seulement les premiers trois octets de sa propre adresse. Ensuite il essaye de contacter les adresses cres.

 Porte drobe Le port suivant est ouvert:

%SYSDIR%\lsass.exe sur le port TCP 1092 afin d'offrir accs la ligne de commande.

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\111.dll


– Il injecte une routine porte drobe dans un processus:

    Nom du processus:
   • %SYSDIR%\lsass.exe


 Informations divers Mutex:
Il cre les Mutex suivants:
   • CTF.Compart.Mutex
   • CTF.Asm.Mutex
   • CTF.Layouts.Mutex
   • CTF.TMD.Mutex
   • CTF.TimListCache.FMP

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • Aspack

Description insérée par Petre Galan le lundi 5 octobre 2009
Description mise à jour par Petre Galan le mardi 6 octobre 2009

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.