Nome del virus:Worm/Lovgate.W.1
Scoperto:05/04/2004
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Basso
File statico:Si
Dimensione del file:61.440 Byte
Somma di controllo MD5:068ab7aff165eaf4a6b5d1f5efc5779d
Versione VDF:6.24.00.87

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Symantec: W32.Lovgate.R@mm
   •  Mcafee: W32/Lovgate.x@MM
   •  Kaspersky: Email-Worm.Win32.LovGate.x
   •  TrendMicro: WORM_LOVGATE.V
   •  Sophos: W32/Lovgate-V
   •  Grisoft: I-Worm/Lovgate.X
   •  VirusBuster: I-Worm.Lovgate.AP
   •  Eset: Win32/Lovgate.Z
   •  Bitdefender: Win32.Lovgate.V@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Sfrutta la vulnerabilità del software

 File Si copia alla seguente posizione:
   • %SYSDIR%\spollsv.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Shell Extension"="%SYSDIR%\spollsv.exe"

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Exploit:
Sfrutta la seguente vulnerabilità:
– MS03-026 (Buffer Overrun in RPC Interface)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi tre ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.


Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

 Backdoor Viene aperta la seguente porta:

%SYSDIR%\spollsv.exe su una porta TCP casuale con lo scopo di procurarsi un server FTP.

Descrizione inserita da Irina Boldea su mercoledì 17 maggio 2006
Descrizione aggiornata da Irina Boldea su mercoledì 17 maggio 2006

Indietro . . . .