Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/LovGate.X.1
Scoperto:15/05/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Basso
File statico:Si
Dimensione del file:23.552 Byte
Somma di controllo MD5:5d279f9a47a257d2804a926064d446c4
Versione VDF:6.34.01.85
Versione IVDF:6.34.01.86

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Kaspersky: Email-Worm.Win32.LovGate.x
   •  Sophos: W32/Lovgate-V
   •  VirusBuster: I-Worm.Lovgate.AP6
   •  Eset: Win32/Lovgate.Z
   •  Bitdefender: Win32.Lovgate.V@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Sfrutta la vulnerabilit del software

 File Si copia alla seguente posizione:
   • %SYSDIR%\spollsv.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Shell Extension"="%SYSDIR%\spollsv.exe"

 Infezione della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Exploit:
Sfrutta la seguente vulnerabilit:
– MS03-026 (Buffer Overrun in RPC Interface)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi tre ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.


Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

 Backdoor Viene aperta la seguente porta:

%SYSDIR%\spollsv.exe su una porta TCP casuale con lo scopo di procurarsi un server FTP.

Descrizione inserita da Irina Boldea su venerdì 15 settembre 2006
Descrizione aggiornata da Irina Boldea su lunedì 18 settembre 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.