Descrizione completa

Nome del virus:	Worm/Lovgate.V
Scoperto:	04/04/2004
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio-Alto
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	126.976 Byte
Somma di controllo MD5:	183597d85245115814705d4c6976421e
Versione VDF:	6.24.00.84

Generale Metodi di propagazione:
   • Email
   • Rete locale

Alias:
   • Symantec: W32.Lovgate.R@mm
   • Mcafee: W32/Lovgate.x@MM
   • Kaspersky: Email-Worm.Win32.LovGate.w
   • TrendMicro: WORM_LOVGATE.V
   • Sophos: W32/Lovgate-V
   • Grisoft: I-Worm/Lovgate.S
   • VirusBuster: I-Worm.Lovgate.AL
   • Eset: Win32/Lovgate.Z
   • Bitdefender: Win32.Lovgate.V@mm

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

File Si copia alle seguenti posizioni:
   • %root del drive di sistema%\WINDOWS\SYSTRA.EXE
   • %root del drive di sistema%\COMMAND.EXE
   • %root del drive di sistema%\WINDOWS\System32\IEXPLORE.EXE
   • %root del drive di sistema%\WINDOWS\System32\RAVMOND.exe
   • %root del drive di sistema%\WINDOWS\System32\hxdef.exe
   • %root del drive di sistema%\WINDOWS\System32\kernel66.dll

Copia se stesso dentro archivi nelle seguenti posizioni:
   • %root del drive di sistema%\WORK.ZIP
   • %root del drive di sistema%\WORK.RAR
   • %root del drive di sistema%\setup.ZIP
   • %root del drive di sistema%\setup.RAR
   • %root del drive di sistema%\Important.ZIP
   • %root del drive di sistema%\Important.RAR
   • %root del drive di sistema%\bak.ZIP
   • %root del drive di sistema%\bak.RAR
   • %root del drive di sistema%\letter.ZIP
   • %root del drive di sistema%\letter.RAR
   • %root del drive di sistema%\pass.ZIP
   • %root del drive di sistema%\pass.RAR

Vengono creati i seguenti file:

– %root del drive di sistema%\WINDOWS\System32\ODBC16.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Lovgate.W.2

– %root del drive di sistema%\WINDOWS\System32\msjdbc11.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Lovgate.W.2

– %root del drive di sistema%\WINDOWS\System32\MSSIGN30.DLL Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Lovgate.W.2

– %root del drive di sistema%\WINDOWS\System32\NetMeeting.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Lovgate.W.1

– %root del drive di sistema%\AUTORUN.INF

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
   • "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
   • "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Hardware Profile"="%SYSDIR%\hxdef.exe"

Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– HKLM\SYSTEM\CurrentControlSet\Services\_reg
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=Rundll32.exe msjdbc11.dll ondll_server
   • "DisplayName"="_reg"
   • "ObjectName"="LocalSystem"

Viene aggiunta la seguente chiave di registro:

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="RAVMOND.exe"

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:
Utilizza il Messaging Application Programming Interface (MAPI) per inviare una risposta alle email contenute nella “InBox”. Le caratteristiche sono ulteriormente descritte:

Da:
L'indirizzo del mittente è falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.

A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati

Oggetto:
Uno dei seguenti:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System
   • hello
   • Re:%oggetto originale%

Inoltre la riga dell’oggetto può contenere delle lettere casuali.

Corpo dell'email:
– In alcuni casi può contenere caratteri casuali.

Il corpo dell’email è come uno dei seguenti:
   • Mail failed. For further assistance, please contact!
   • The message contains Unicode characters and has been sent as a binary attachment.
   • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
Il corpo dell’email è come il seguente:

   • %mittente originale% wrote:
     ====
     %corpo della mail originale%
     ====
     %dominio del mittente% account auto-reply

      If you can keep your head when all about you
      Are losing theirs and blaming it on you;
      If you can trust yourself when all men doubt you,
      But make allowance for their doubting too;
      If you can wait and not be tired by waiting,
      Or, being lied about,don't deal in lies,
      Or, being hated, don't give way to hating,
      And yet don't look too good, nor talk too wise;
      ... ... more look to the attachment.

      > Get your FREE %dominio del mittente% now! <

File allegato:
Il nome del file allegato è uno dei seguenti:
   • the hardcore game-.pif
   • Sex in Office.rm.scr
   • Deutsch BloodPatch!.exe
   • s3msong.MP3.pif
   • Me_nude.AVI.pif
   • How to Crack all gamez.exe
   • Macromedia Flash.scr
   • SETUP.EXE
   • Shakira.zip.exe
   • dreamweaver MX (crack).exe
   • StarWars2 - CloneAttack.rm.scr
   • Industry Giant II.exe
   • DSL Modem Uncapper.rar.exe
   • joke.pif
   • Britney spears nude.exe.txt.exe
   • I am For u.doc.exe
Il nome del file allegato viene estrapolato dai seguenti:

– Inizia con uno dei seguenti:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document
   • %stringa di caratteri casuale%

    L'estensione del file è una delle seguenti:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

L'allegato è una copia del malware stesso.

L'allegato è un archivio che contiene una copia del malware stesso.

L’email si presenta come di seguito:

Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm
   • txt
   • tmp

Generazione dell'indirizzo per i campi TO e FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; brent; adam; ted; fred; jack; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      jim; maria; leo; jose; andrew; sam; george; david; kevin; mike; james;
      michael; alex; john

Combina il risultato con i domini trovati nei file dopo la precedente ricerca di indirizzi.

Il dominio è uno dei seguenti:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com

Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www; be_loyal:

Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione: Cerca tutte le directory condivise.

   Se riuscito, i seguenti file vengono creati:
   • WinRAR.exe; Internet Explorer.bat; Documents and Settings.txt.exe;
      Microsoft Office.exe; Windows Media Player.zip.exe; Support Tools.exe;
      WindowsUpdate.pif; Cain.pif; MSDN.ZIP.pif; autoexec.bat; findpass.exe;
      client.exe; i386.exe; winhlp32.exe; xcopy.exe; mmc.exe

   Questi file sono copie del malware stesso.

“Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa una copia di se stesso nella seguente condivisione di rete:
   • admin$\system32

Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– La seguente lista di Nomi Utente:
   • Guest
   • Administrator

– La seguente lista di Password:
   • zxcv; yxcv; xxx; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; Password; owner; oracle; mypc123; mypc;
      mypass123; mypass; love; login; Login; Internet; home; godblessyou;
      god; enable; database; computer; alpha; admin123; Admin; abcd; aaa;
      88888888; 2600; 2004; 2003; 123asd; 123abc; 123456789; 1234567;
      123123; 121212; 11111111; 110; 007; 00000000; 000000; pass; 54321;
      12345; password; passwd; server; sql; !@; $%^&*; !@; $%^&; !@; $%^;
      !@; $%; asdfgh; asdf; !@; $; 1234; 111; root; abc123; 12345678;
      abcdefg; abcdef; abc; 888888; 666666; 111111; admin; administrator;
      guest; 654321; 123456

Processi terminati I processi che contengono una delle seguenti stringhe vengono terminati:
   • RISING; SKYNET; SYMANTEC; MCAFEE; GATE; RFW.EXE; RAVMON.EXE; KILL;
      NAV; DUBA; KAV

I seguenti servizi vengono disattivati:
   • Rising Realtime Monitor Service
   • Symantec AntiVirus Server
   • Symantec AntiVirus Client

Backdoor Viene aperta la seguente porta:

– %directory di esecuzione del malware%\%file eseguiti% su una porta TCP casuale con lo scopo di procurarsi delle possibili backdoor.

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Descrizione inserita da Irina Boldea su martedì 16 maggio 2006
Descrizione aggiornata da Irina Boldea su lunedì 5 giugno 2006

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti