Nome del virus:Worm/Lovgate.AU.2
Scoperto:01/07/2004
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:143.360 Byte
Somma di controllo MD5:ebb2e4a8c367e6d0967ac89ef89580cd
Versione VDF:6.26.00.12

 Generale Metodi di propagazione:
   • Email
   • Rete locale


Alias:
   •  Symantec: W32.Lovgate.X@mm
   •  Mcafee: W32/Lovgate.ac@MM
   •  Kaspersky: Email-Worm.Win32.LovGate.ad
   •  Sophos: W32/Lovgate-F
   •  Grisoft: I-Worm/Lovgate
   •  Bitdefender: Win32.LovGate.AC@mm


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\realsched.exe
   • %SYSDIR%\vptray.exe
   • %SYSDIR%\hxdef.exe
   • %SYSDIR%\RAVMOD.exe
   • %SYSDIR%\IEXPLORE.EXE
   • %SYSDIR%\kernel66.dll
   • %WINDIR%\SYSTRA.EXE
   • %unità disco%\COMMAND.EXE



Vengono creati i seguenti file:

%unità disco%\AUTORUN.INF Questo è un file di testo “non maligno” con il seguente contenuto:
   • [AUTORUN]
     Open="%unità disco%\COMMAND.EXE" /StartExplorer

%directory di esecuzione del malware%\results.txt
%SYSDIR%\ODBC16.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Lovgate.W.2

%SYSDIR%\msjdbc11.dll Riconosciuto come: Worm/Lovgate.W.2

%SYSDIR%\LMMIB20.DLL Riconosciuto come: Worm/Lovgate.W.2

%SYSDIR%\MSSIGN30.DLL Riconosciuto come: Worm/Lovgate.W.2

%SYSDIR%\NetMeeting.exe Riconosciuto come: Worm/Lovgate.W.1

%WINDIR%\suchost.exe Riconosciuto come: Worm/Lovgate.AU.1




Prova ad eseguire il seguente file:

– Nome del file:
   • rundll.exe
utilizzando i seguenti parametri: %dll del malware% ondll_reg


– Nome del file:
   • rundll.exe
utilizzando i seguenti parametri: %dll del malware% ondll_install

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WinHelp"="%SYSDIR%\realsched.exe"
   • "Hardware Profile"="%SYSDIR%\hxdef.exe"
   • "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices]
   • "SystemTra"="%WINDIR%\SysTra.EXE"



Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\_reg]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="Rundll32.exe msjdbc11.dll ondll_server"
   • "DisplayName"="_reg"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\_reg\Security]
   • "Security"=%valori esadecimali%



Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="RAVMOND.exe"

– [HKCR\txtfile\shell\open\command]
   • @="vptray.exe %1"

 File virale Il seguente file è infetto:

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.
L’indirizzo del mittente è l'account Outlook dell'utente.


A:
– Indirizzi email trovati in specifici file sul sistema.


Oggetto:
Uno dei seguenti:
   • ERROR
   • hello
   • hi
   • Mail Delivery System
   • Mail TRansaction Failed
   • Server Report
   • Status
   • TEST

In alcuni casi l'oggetto può anche essere vuoto.
Inoltre la riga dell’oggetto può contenere delle lettere casuali.


Corpo dell'email:
–  In alcuni casi può essere vuoto.
–  In alcuni casi può contenere caratteri casuali.


Il corpo dell’email è come uno dei seguenti:
   • Mail failed. For further assistance, please contact!
   • The message contains Unicode characters and has been sent as a binary attachment.
   • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
   • pass


File allegato:

   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %stringa di caratteri casuale%

   • bat
   • cmd
   • exe
   • pif
   • scr
   • zip
   •

L'allegato è una copia del malware stesso.

 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • .htm
   • .sht
   • .php
   • .asp
   • .dbx
   • .tbb
   • .adb
   • .wab


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • accoun; certific; listserv; ntivi; support; icrosoft; the.bat;
      gold-certs; feste; submit; service; privacy; somebody; contact;
      rating; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; be_loyal:; mozilla; utgers.ed; tanford.e;
      acketst; secur; isc.o; isi.e; ripe.; arin.; sendmail; rfc-ed; usenet;
      linux; kernel; google; ibm.com; mit.e; berkeley; ruslis; nodomai;
      mydomai; example; inpris; borlan; sopho; panda; hotmail; icrosof;
      -._!@; abuse


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
   • \%computer nel dominio corrente%\%tutte le cartelle condivise%\WinRAR.exe
   • \%computer nel dominio corrente%\%tutte le cartelle condivise%\Internet Explorer.bat
   • \%computer nel dominio corrente%\%tutte le cartelle condivise%\Documents and Settings.txt.exe
   • \%computer nel dominio corrente%\%tutte le cartelle condivise%\Microsoft Office.exe
   • \%computer nel dominio corrente%\%tutte le cartelle condivise%\Windows Media Player.zip.exe
   • \%computer nel dominio corrente%\%tutte le cartelle condivise%\Support Tools.exe
   • \%computer nel dominio corrente%\%tutte le cartelle condivise%\WindowsUpdate.pif
   • \%computer nel dominio corrente%\%tutte le cartelle condivise%\Cain.pif
   • \%computer nel dominio corrente%\%tutte le cartelle condivise%\MSDN.ZIP.pif
   • \%computer nel dominio corrente%\%tutte le cartelle condivise%\autoexec.bat
   • \%computer nel dominio corrente%\%tutte le cartelle condivise%\findpass.exe
   • \%computer nel dominio corrente%\%tutte le cartelle condivise%\client.exe
   • \%computer nel dominio corrente%\%tutte le cartelle condivise%\i386.exe
   • \%computer nel dominio corrente%\%tutte le cartelle condivise%\winhlp32.exe
   • \%computer nel dominio corrente%\%tutte le cartelle condivise%\xcopy.exe
   • \%computer nel dominio corrente%\%tutte le cartelle condivise%\mmc.exe


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi tre ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.

 Processi terminati Lista dei processi che vengono terminati:
   • KV; KAV; Duba; NAV; kill; RavMon.exe; Rfw.exe; Gate; McAfee; Symantec;
      SkyNet; rising


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ivanes su venerdì 2 giugno 2006
Descrizione aggiornata da Andrei Ivanes su venerdì 2 giugno 2006

Indietro . . . .