Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Lovgate.W.3
Scoperto:21/05/2004
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:118.784 Byte
Somma di controllo MD5:b622c59dfb06aaa01382a7db6bfb9e75
Versione VDF:6.25.00.74

 Generale Metodi di propagazione:
   • Email
   • Rete locale
   • Peer to Peer


Alias:
   •  Symantec: W32.Lovgate.R@mm
   •  Mcafee: W32/Lovgate.x@MM
   •  Kaspersky: Email-Worm.Win32.LovGate.w
   •  Sophos: W32/Lovgate-V
   •  Grisoft: I-Worm/Lovgate.X
   •  VirusBuster: I-Worm.Lovgate.AP2
   •  Eset: Win32/Lovgate.Z
   •  Bitdefender: Win32.Lovgate.V@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file maligni
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %root del drive di sistema%\WINDOWS\SYSTRA.EXE
   • %root del drive di sistema%\COMMAND.EXE
   • %root del drive di sistema%\WINDOWS\System32\IEXPLORE.EXE
   • %root del drive di sistema%\WINDOWS\System32\RAVMOND.exe
   • %root del drive di sistema%\WINDOWS\System32\hxdef.exe
   • %root del drive di sistema%\WINDOWS\System32\kernel66.dll



Copia se stesso dentro archivi nelle seguenti posizioni:
   • %root del drive di sistema%\WORK.ZIP
   • %root del drive di sistema%\WORK.RAR
   • %root del drive di sistema%\setup.ZIP
   • %root del drive di sistema%\setup.RAR
   • %root del drive di sistema%\Important.ZIP
   • %root del drive di sistema%\Important.RAR
   • %root del drive di sistema%\bak.ZIP
   • %root del drive di sistema%\bak.RAR
   • %root del drive di sistema%\letter.ZIP
   • %root del drive di sistema%\letter.RAR
   • %root del drive di sistema%\pass.ZIP
   • %root del drive di sistema%\pass.RAR



Vengono creati i seguenti file:

%root del drive di sistema%\WINDOWS\System32\ODBC16.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Lovgate.W.DLL

%root del drive di sistema%\WINDOWS\System32\msjdbc11.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Lovgate.W.DLL

%root del drive di sistema%\WINDOWS\System32\MSSIGN30.DLL Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Lovgate.W.DLL

%root del drive di sistema%\WINDOWS\System32\NetMeeting.exe Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Lovgate.W.1

%root del drive di sistema%\AUTORUN.INF

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
   • "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
   • "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Hardware Profile"="%SYSDIR%\hxdef.exe"



Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

HKLM\SYSTEM\CurrentControlSet\Services\_reg
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=Rundll32.exe msjdbc11.dll ondll_server
   • "DisplayName"="_reg"
   • "ObjectName"="LocalSystem"



Viene aggiunta la seguente chiave di registro:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="RAVMOND.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verr stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:
Utilizza il Messaging Application Programming Interface (MAPI) per inviare una risposta alle email contenute nella InBox. Le caratteristiche sono ulteriormente descritte:


Da:
L'indirizzo del mittente falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria infezione o addirittura potrebbe non essere infetto. In pi si potrebbero ricevere email bounce che diranno che si infetti. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
 Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati


Oggetto:
Uno dei seguenti:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System
   • hello
   • Re:%oggetto originale%

Inoltre la riga delloggetto pu contenere delle lettere casuali.


Corpo dell'email:
–  In alcuni casi pu contenere caratteri casuali.


Il corpo dellemail come uno dei seguenti:
   • Mail failed. For further assistance, please contact!
   • The message contains Unicode characters and has been sent as a binary attachment.
   • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
Il corpo dellemail come il seguente:

   • %mittente originale% wrote:
     ====
     %corpo della mail originale%
     ====
     %dominio del mittente% account auto-reply
     
      If you can keep your head when all about you
      Are losing theirs and blaming it on you;
      If you can trust yourself when all men doubt you,
      But make allowance for their doubting too;
      If you can wait and not be tired by waiting,
      Or, being lied about,don't deal in lies,
      Or, being hated, don't give way to hating,
      And yet don't look too good, nor talk too wise;
      ... ... more look to the attachment.
     
      > Get your FREE %dominio del mittente% now! <


File allegato:
Il nome del file allegato uno dei seguenti:
   • the hardcore game-.pif
   • Sex in Office.rm.scr
   • Deutsch BloodPatch!.exe
   • s3msong.MP3.pif
   • Me_nude.AVI.pif
   • How to Crack all gamez.exe
   • Macromedia Flash.scr
   • SETUP.EXE
   • Shakira.zip.exe
   • dreamweaver MX (crack).exe
   • StarWars2 - CloneAttack.rm.scr
   • Industry Giant II.exe
   • DSL Modem Uncapper.rar.exe
   • joke.pif
   • Britney spears nude.exe.txt.exe
   • I am For u.doc.exe
Il nome del file allegato viene estrapolato dai seguenti:

–  Inizia con uno dei seguenti:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document
   • %stringa di caratteri casuale%

    L'estensione del file una delle seguenti:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

L'allegato una copia del malware stesso.

L'allegato un archivio che contiene una copia del malware stesso.



Lemail si presenta come di seguito:


 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm
   • txt
   • tmp


Generazione dell'indirizzo per i campi TO e FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; brent; adam; ted; fred; jack; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      jim; maria; leo; jose; andrew; sam; george; david; kevin; mike; james;
      michael; alex; john

Combina il risultato con i domini trovati nei file dopo la precedente ricerca di indirizzi.

Il dominio uno dei seguenti:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www; be_loyal:


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacit di aggiungere in testa al nome di dominio le seguenti stringhe:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 P2P Per infettare altri sistemi della comunit della rete Peer to Peer, viene eseguita la seguente azione:


Cerca tutte le directory condivise.

   Se riuscito, i seguenti file vengono creati:
   • Support Tools.exe; Cain.pif; client.exe; Documents and
      Settings.txt.exe; findpass.exe; i386.exe; Internet Explorer.bat;
      Microsoft Office.exe; mmc.exe; MSDN.ZIP.pif; Support Tools.exe;
      Windows Media Player.zip.exe; WindowsUpdate.pif; winhlp32.exe;
      WinRAR.exe; xcopy.exe

   Questi file sono copie del malware stesso.

 Infezione della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa una copia di se stesso nella seguente condivisione di rete:
   • admin$\system32


Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

La seguente lista di Nomi Utente:
   • Guest
   • Administrator

La seguente lista di Password:
   • zxcv; yxcv; xxx; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; Password; owner; oracle; mypc123; mypc;
      mypass123; mypass; love; login; Login; Internet; home; godblessyou;
      god; enable; database; computer; alpha; admin123; Admin; abcd; aaa;
      88888888; 2600; 2004; 2003; 123asd; 123abc; 123456789; 1234567;
      123123; 121212; 11111111; 110; 007; 00000000; 000000; pass; 54321;
      12345; password; passwd; server; sql; !@; $%^&*; !@; $%^&; !@; $%^;
      !@; $%; asdfgh; asdf; !@; $; 1234; 111; root; abc123; 12345678;
      abcdefg; abcdef; abc; 888888; 666666; 111111; admin; administrator;
      guest; 654321; 123456


 Processi terminati I processi che contengono una delle seguenti stringhe vengono terminati:
   • RISING; SKYNET; SYMANTEC; MCAFEE; GATE; RFW.EXE; RAVMON.EXE; KILL;
      NAV; DUBA; KAV


I seguenti servizi vengono disattivati:
   • Rising Realtime Monitor Service
   • Symantec AntiVirus Server
   • Symantec AntiVirus Client

 Backdoor Viene aperta la seguente porta:

%directory di esecuzione del malware%\%file eseguiti% su una porta TCP casuale con lo scopo di procurarsi delle possibili backdoor.

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Irina Boldea su mercoledì 25 ottobre 2006
Descrizione aggiornata da Irina Boldea su lunedì 6 novembre 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.