Nome del virus:Worm/Lovgate.W
Scoperto:20/07/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:179.200 Byte
Somma di controllo MD5:EE60B144AEA5AA8550FD3E0A873CFF2C
Versione VDF:6.24.00.86

 Generale Metodi di propagazione:
   • Email
   • Rete locale


Alias:
   •  Symantec: W32.HLLW.Lovgate.I@mm
   •  Mcafee: W32/Lovgate.w@M
   •  Kaspersky: Email-Worm.Win32.LovGate.gen
   •  TrendMicro: WORM_LOVGATE.W
   •  F-Secure: W32/Lovgate.W@mm
   •  Sophos: W32/Lovgate-AP
   •  Grisoft: I-Worm/Lovgate.X
   •  VirusBuster: I-Worm.Lovgate.BI
   •  Bitdefender: Win32.LovGate.W@mm


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\WinDriver.exe
   • %SYSDIR%\Winexe.exe
   • %SYSDIR%\WinGate.exe
   • %SYSDIR%\RAVMOND.exe
   • %SYSDIR%\IEXPLORE.EXE
   • %TEMPDIR%\%stringa di caratteri casuale%
   • c:\SysBoot.EXE
   • %WINDIR%\SYSTRA.EXE
   • %SYSDIR%\WinHelp.exe



Fa una copia di se stesso utilizzando un nome file dalla lista:
– A: %tutte le cartelle condivise% Utilizzando uno dei seguenti nomi:
   • Are you looking for Love.doc.exe
   • autoexec.bat
   • The world of lovers.txt.exe
   • How To Hack Websites.exe
   • Panda Titanium Crack.zip.exe
   • Mafia Trainer!!!.exe
   • 100 free essays school.pif
   • AN-YOU-SUCK-IT.txt.pif
   • Sex_For_You_Life.JPG.pif
   • CloneCD + crack.exe
   • Age of empires 2 crack.exe
   • MoviezChannelsInstaler.exe
   • Star Wars II Movie Full Downloader.exe
   • Winrar + crack.exe
   • SIMS FullDownloader.zip.exe
   • MSN Password Hacker and Stealer.exe




Vengono creati i seguenti file:

– c:\AUTORUN.INF Questo è un file di testo “non maligno” con il seguente contenuto:
   • [AUTORUN]
     Open="C:\SysBoot.EXE" /StartExplorer

%SYSDIR%\kernel66.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware.
%SYSDIR%\ily668.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware.
%SYSDIR%\task668.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware.
%SYSDIR%\reg667.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\software\microsoft\windows\currentversion\run\]
   • "WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
   • "Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
   • "WinHelp"="%SYSDIR%\WinHelp.exe"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"

– [HKLM\software\microsoft\windows\currentversion\runservices\]
   • "SystemTra"="%WINDIR%\SysTra.EXE /SysTra:Kernel32.Dll"



Viene aggiunta la seguente chiave di registro:

– [HKCU\software\microsoft\windows nt\currentversion\windows\]
   • "DebugOptions"="2048"
   • "Documents"=""
   • "DosPrint"="no"
   • "load"=""
   • "NetMessage"="no"
   • "NullPort"="None"
   • "Programs"="com exe bat pif cmd"
   • "run"="RAVMOND.exe"



Viene cambiata la seguente chiave di registro:

– [HKCR\exefile\shell\open\command]
   Valore precedente:
   • @="\"%1\" %*"
   Nuovo valore:
   • @="%SYSDIR%\winexe.exe \"%1\" %*"

 Email Usa Microsoft Outlook per inviare le email. Le caratteristiche sono descritte sotto:
Utilizza il Messaging Application Programming Interface (MAPI) per inviare una risposta alle email contenute nella “InBox”. Le caratteristiche sono ulteriormente descritte:


Da:
L’indirizzo del mittente è l'account Outlook dell'utente.


A:
– Indirizzi email trovati in specifici file sul sistema.


Oggetto:
Uno dei seguenti:
   • "Reply to this!"
   • "Let's Laugh"
   • "Last Update"
   • "for you"
   • "Great"
   • "Help"
   • "Attached one Gift for u.."
   • "Hi Dear"
   • "See the attachement"



Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:
   • For further assistance, please contact!
   • Copy of your message, including all the headers is attached.
   • This is the last cumulative update.
   • Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
   • Send reply if you want to be official beta tester.
   • This message was created automatically by mail delivery software (Exim).
   • It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
   • Adult content!!! Use with parental advisory.
   • Patrick Ewing will give Knick fans something to cheer about Friday night.
   • Send me your comments...


File allegato:
Il nome del file allegato è uno dei seguenti:
   • About_Me.txt.pif
   • driver.exe
   • Doom3 Preview!!!.exe
   • enjoy.exe
   • YOU_are_FAT!.TXT.pif
   • Source.exe
   • Interesting.exe
   • README.TXT.pif
   • images.pif
   • Pics.ZIP.scr

L'allegato è una copia del malware stesso.



L'email può presentarsi come una delle seguenti:


 Invio di messaggi Cerca indirizzi:
Cerca il seguente file per gli indirizzi email:
   • %ogni file *.htm%

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa una copia di se stesso nella seguente condivisione di rete:
   • %tutte le cartelle condivise%


Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– Il seguente Nome Utente:
   • Administrator

– La seguente lista di Password:
   • zxcv; yxcv; xxx; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; Password; owner; oracle; mypc123; mypc;
      mypass123; mypass; love; login; Login; Internet; home; godblessyou;
      god; enable; database; computer; alpha; admin123; Admin; abcd; aaa;
      88888888; 2600; 2003; 2002; 123asd; 123abc; 123456789; 1234567;
      123123; 121212; 11111111; 110; 007; 00000000; 000000; pass; 54321;
      12345; password; passwd; server; sql; !@&; 035;$%^&*; !@&; 035;$%^&;
      !@&; 035;$%^; !@&; 035;$%; asdfgh; asdf; !@&; 035;$; 1234; 111; root;
      abc123; 12345678; abcdefg; abcdef; abc; 888888; 666666; 111111; admin;
      administrator; guest; 654321; 123456; 321; 123



Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi due ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.

 Processi terminati I processi che contengono una delle seguenti stringhe vengono terminati:
   • RISING; SKYNET; SYMANTEC; MCAFEE; GATE; RFW.EXE; RAVMON.EXE; KILL;
      NAV; DUBA; KAV


 Varie Condivisioni di rete:
Verrà creata la seguente condivisione di rete:
   • %TEMPDIR%\


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • ASPack 2.11

Descrizione inserita da Andrei Gherman su lunedì 1 agosto 2005
Descrizione aggiornata da Andrei Ivanes su martedì 14 marzo 2006

Indietro . . . .