Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Lovgate.Q.2
Scoperto:31/03/2004
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:114.176 Byte
Somma di controllo MD5:bd35823ecdb52252312d403b54c8760D
Versione VDF:6.24.00.77

 Generale Metodi di propagazione:
   • Email
   • Rete locale
   • Peer to Peer


Alias:
   •  Symantec: W32.Lovgate.R@mm
   •  Mcafee: W32/Lovgate.q@MM
   •  Kaspersky: Email-Worm.Win32.LovGate.q
   •  TrendMicro: WORM_LOVGATE.Q
   •  Sophos: W32/Lovgate-X
   •  Grisoft: I-Worm/Lovgate.O
   •  VirusBuster: I-I-Worm.Lovgate.AH
   •  Eset: Win32/Lovgate.X
   •  Bitdefender: Win32.Lovgate.R@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %root del drive di sistema%\WINDOWS\SYSTRA.EXE
   • %root del drive di sistema%\COMMAND.EXE
   • %root del drive di sistema%\WINDOWS\System32\IEXPLORE.EXE
   • %root del drive di sistema%\WINDOWS\System32\RAVMOND.exe
   • %root del drive di sistema%\WINDOWS\System32\hxdef.exe
   • %root del drive di sistema%\WINDOWS\System32\kernel66.dll



Copia se stesso dentro archivi nelle seguenti posizioni:
   • %root del drive di sistema%\WORK.ZIP
   • %root del drive di sistema%\WORK.RAR
   • %root del drive di sistema%\setup.ZIP
   • %root del drive di sistema%\setup.RAR
   • %root del drive di sistema%\Important.ZIP
   • %root del drive di sistema%\Important.RAR
   • %root del drive di sistema%\bak.ZIP
   • %root del drive di sistema%\bak.RAR
   • %root del drive di sistema%\letter.ZIP
   • %root del drive di sistema%\letter.RAR
   • %root del drive di sistema%\pass.ZIP
   • %root del drive di sistema%\pass.RAR



Vengono creati i seguenti file:

%root del drive di sistema%\WINDOWS\System32\ODBC16.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Lovgate.Q.1

%root del drive di sistema%\WINDOWS\System32\msjdbc11.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Lovgate.Q.1

%root del drive di sistema%\WINDOWS\System32\MSSIGN30.DLL Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Lovgate.Q.1

%root del drive di sistema%\WINDOWS\System32\NetMeeting.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Lovgate.W.1

%root del drive di sistema%\AUTORUN.INF

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
   • "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
   • "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Hardware Profile"="%SYSDIR%\hxdef.exe"



Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– HKLM\SYSTEM\CurrentControlSet\Services\_reg
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=Rundll32.exe msjdbc11.dll ondll_server
   • "DisplayName"="_reg"
   • "ObjectName"="LocalSystem"



Viene aggiunta la seguente chiave di registro:

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="RAVMOND.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:
Utilizza il Messaging Application Programming Interface (MAPI) per inviare una risposta alle email contenute nella “InBox”. Le caratteristiche sono ulteriormente descritte:


Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati


Oggetto:
Uno dei seguenti:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System
   • hello
   • Re:%oggetto originale%

Inoltre la riga dell’oggetto può contenere delle lettere casuali.


Corpo dell'email:
–  In alcuni casi può contenere caratteri casuali.


Il corpo dell’email è come uno dei seguenti:
   • Mail failed. For further assistance, please contact!
   • The message contains Unicode characters and has been sent as a binary attachment.
   • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
Il corpo dell’email è come il seguente:

   • %mittente originale% wrote:
     ====
     %corpo della mail originale%
     ====
     %dominio del mittente% account auto-reply
     
      If you can keep your head when all about you
      Are losing theirs and blaming it on you;
      If you can trust yourself when all men doubt you,
      But make allowance for their doubting too;
      If you can wait and not be tired by waiting,
      Or, being lied about,don't deal in lies,
      Or, being hated, don't give way to hating,
      And yet don't look too good, nor talk too wise;
      ... ... more look to the attachment.
     
      > Get your FREE %dominio del mittente% now! <


File allegato:
Il nome del file allegato è uno dei seguenti:
   • the hardcore game-.pif
   • Sex in Office.rm.scr
   • Deutsch BloodPatch!.exe
   • s3msong.MP3.pif
   • Me_nude.AVI.pif
   • How to Crack all gamez.exe
   • Macromedia Flash.scr
   • SETUP.EXE
   • Shakira.zip.exe
   • dreamweaver MX (crack).exe
   • StarWars2 - CloneAttack.rm.scr
   • Industry Giant II.exe
   • DSL Modem Uncapper.rar.exe
   • joke.pif
   • Britney spears nude.exe.txt.exe
   • I am For u.doc.exe
Il nome del file allegato viene estrapolato dai seguenti:

–  Inizia con uno dei seguenti:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document
   • %stringa di caratteri casuale%

    L'estensione del file è una delle seguenti:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

L'allegato è una copia del malware stesso.

L'allegato è un archivio che contiene una copia del malware stesso.



L’email si presenta come di seguito:


 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm
   • txt
   • tmp


Generazione dell'indirizzo per i campi TO e FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; brent; adam; ted; fred; jack; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      jim; maria; leo; jose; andrew; sam; george; david; kevin; mike; james;
      michael; alex; john

Combina il risultato con i domini trovati nei file dopo la precedente ricerca di indirizzi.

Il dominio è uno dei seguenti:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www; be_loyal:


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione: Cerca tutte le directory condivise.

   Se riuscito, i seguenti file vengono creati:
   • Thank you.doc.exe; 3D Flash Animator.rar.bat; SWF Browser2.93.txt.exe;
      Download.exe; Panda Crack.zip.exe; WinRAR V3.2.0 Beta 2.exe;
      Swish2.00.pif; AAdobe Photoshop7.0 creak.pif; You_Life.JPG.pif;
      CloneCD crack.exe; WinZip v9.0 Beta Build 5480 crack.exe; Real-DRAW
      PRO v3.10.exe; Star Wars Downloader.exe; HyperSnap-DX v5.20.01.exe;
      Adobe Photoshop6.0.zip.exe; HyperSnap-DX v4.51.01.exe

   Questi file sono copie del malware stesso.

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa una copia di se stesso nella seguente condivisione di rete:
   • admin$\system32


Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– La seguente lista di Nomi Utente:
   • Guest
   • Administrator

– La seguente lista di Password:
   • zxcv; yxcv; xxx; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; Password; owner; oracle; mypc123; mypc;
      mypass123; mypass; love; login; Login; Internet; home; godblessyou;
      god; enable; database; computer; alpha; admin123; Admin; abcd; aaa;
      88888888; 2600; 2004; 2003; 123asd; 123abc; 123456789; 1234567;
      123123; 121212; 11111111; 110; 007; 00000000; 000000; pass; 54321;
      12345; password; passwd; server; sql; !@; $%^&*; !@; $%^&; !@; $%^;
      !@; $%; asdfgh; asdf; !@; $; 1234; 111; root; abc123; 12345678;
      abcdefg; abcdef; abc; 888888; 666666; 111111; admin; administrator;
      guest; 654321; 123456


 Processi terminati I processi che contengono una delle seguenti stringhe vengono terminati:
   • RISING; SKYNET; SYMANTEC; MCAFEE; GATE; RFW.EXE; RAVMON.EXE; KILL;
      NAV; DUBA; KAV


 Backdoor Viene aperta la seguente porta:

%directory di esecuzione del malware%\%file eseguiti% su una porta TCP casuale con lo scopo di procurarsi delle possibili backdoor.

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Irina Boldea su lunedì 23 ottobre 2006
Descrizione aggiornata da Irina Boldea su lunedì 6 novembre 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.