Descrizione completa

Nume:	Worm/Lovgate.V
Descoperit pe data de:	04/04/2004
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Mediu spre ridicat
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	126.976 Bytes
MD5:	183597d85245115814705d4c6976421e
Versiune VDF:	6.24.00.84

General Metode de raspandire:
   • Email
   • Reteaua locala

Alias:
   • Symantec: W32.Lovgate.R@mm
   • Mcafee: W32/Lovgate.x@MM
   • Kaspersky: Email-Worm.Win32.LovGate.w
   • TrendMicro: WORM_LOVGATE.V
   • Sophos: W32/Lovgate-V
   • Grisoft: I-Worm/Lovgate.S
   • VirusBuster: I-Worm.Lovgate.AL
   • Eset: Win32/Lovgate.Z
   • Bitdefender: Win32.Lovgate.V@mm

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza fisiere malware
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Modificari in registri

Fisiere Se copiaza in urmatoarele locatii:
   • %radacina partitiei Windows%\WINDOWS\SYSTRA.EXE
   • %radacina partitiei Windows%\COMMAND.EXE
   • %radacina partitiei Windows%\WINDOWS\System32\IEXPLORE.EXE
   • %radacina partitiei Windows%\WINDOWS\System32\RAVMOND.exe
   • %radacina partitiei Windows%\WINDOWS\System32\hxdef.exe
   • %radacina partitiei Windows%\WINDOWS\System32\kernel66.dll

Se copiaza intr-o arhiva in urmatoarele locatii:
   • %radacina partitiei Windows%\WORK.ZIP
   • %radacina partitiei Windows%\WORK.RAR
   • %radacina partitiei Windows%\setup.ZIP
   • %radacina partitiei Windows%\setup.RAR
   • %radacina partitiei Windows%\Important.ZIP
   • %radacina partitiei Windows%\Important.RAR
   • %radacina partitiei Windows%\bak.ZIP
   • %radacina partitiei Windows%\bak.RAR
   • %radacina partitiei Windows%\letter.ZIP
   • %radacina partitiei Windows%\letter.RAR
   • %radacina partitiei Windows%\pass.ZIP
   • %radacina partitiei Windows%\pass.RAR

Sunt create fisierele:

– %radacina partitiei Windows%\WINDOWS\System32\ODBC16.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Lovgate.W.2

– %radacina partitiei Windows%\WINDOWS\System32\msjdbc11.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Lovgate.W.2

– %radacina partitiei Windows%\WINDOWS\System32\MSSIGN30.DLL Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Lovgate.W.2

– %radacina partitiei Windows%\WINDOWS\System32\NetMeeting.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Lovgate.W.1

– %radacina partitiei Windows%\AUTORUN.INF

Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
   • "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
   • "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Hardware Profile"="%SYSDIR%\hxdef.exe"

Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\_reg
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=Rundll32.exe msjdbc11.dll ondll_server
   • "DisplayName"="_reg"
   • "ObjectName"="LocalSystem"

Se adauga in registrii sistemului:

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="RAVMOND.exe"

Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:
Foloseste Messaging Application Programming Interface (MAPI) pentru a trimite raspunsuri la email-urile stocate in Inbox. Iata caracteristicile lui:

De la:
Adresa este falsificata.
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.

Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)
– Adrese generate

Subiect:
Unul din urmatoarele:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System
   • hello
   • Re:%subiectul original%

In plus, subiectul email-ului ar putea contine litere aleatoare.

Corpul email-ului:
– Uneori poate contine caractere aleatoare.

Corpul email-ului este unul din textele:
   • Mail failed. For further assistance, please contact!
   • The message contains Unicode characters and has been sent as a binary attachment.
   • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
Corpul email-ului este:

   • %expeditorul original% wrote:
     ====
     %mesajul original%
     ====
     %domeniul expeditorului% account auto-reply

      If you can keep your head when all about you
      Are losing theirs and blaming it on you;
      If you can trust yourself when all men doubt you,
      But make allowance for their doubting too;
      If you can wait and not be tired by waiting,
      Or, being lied about,don't deal in lies,
      Or, being hated, don't give way to hating,
      And yet don't look too good, nor talk too wise;
      ... ... more look to the attachment.

      > Get your FREE %domeniul expeditorului% now! <

Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • the hardcore game-.pif
   • Sex in Office.rm.scr
   • Deutsch BloodPatch!.exe
   • s3msong.MP3.pif
   • Me_nude.AVI.pif
   • How to Crack all gamez.exe
   • Macromedia Flash.scr
   • SETUP.EXE
   • Shakira.zip.exe
   • dreamweaver MX (crack).exe
   • StarWars2 - CloneAttack.rm.scr
   • Industry Giant II.exe
   • DSL Modem Uncapper.rar.exe
   • joke.pif
   • Britney spears nude.exe.txt.exe
   • I am For u.doc.exe
Numele fisierului atasat este alcatuit dupa cum urmeaza:

– Incepe cu unul din urmatoarele:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document
   • %combinatie de caractere aleatoare%

    Extensia fisierului este una din urmatoarele:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

Atasamentul este o copie malware.

Atasamentul este o arhiva ce contine chiar o copie malware.

Email-ul arata astfel:

Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm
   • txt
   • tmp

Creeaza adrese pentru campul expeditorului si al destinatarului:
Pentru a genera adrese foloseste urmatoarele texte:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; brent; adam; ted; fred; jack; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      jim; maria; leo; jose; andrew; sam; george; david; kevin; mike; james;
      michael; alex; john

Combina acest rezultat cu domeniile gasite in fisierele in care a cautat anterior adrese.

Domeniul este unul din urmatoarele:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com

Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www; be_loyal:

Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

P2P Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii: Cauta toate directoarele partajate in retea.

   Daca reuseste, sunt create urmatoarele fisiere:
   • WinRAR.exe; Internet Explorer.bat; Documents and Settings.txt.exe;
      Microsoft Office.exe; Windows Media Player.zip.exe; Support Tools.exe;
      WindowsUpdate.pif; Cain.pif; MSDN.ZIP.pif; autoexec.bat; findpass.exe;
      client.exe; i386.exe; winhlp32.exe; xcopy.exe; mmc.exe

   Aceste fişiere sunt copii ale malware-ului.

Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza o copie malware in urmatorul share de retea:
   • admin$\system32

Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

– Lista de utilizatori:
   • Guest
   • Administrator

– Lista de parole:
   • zxcv; yxcv; xxx; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; Password; owner; oracle; mypc123; mypc;
      mypass123; mypass; love; login; Login; Internet; home; godblessyou;
      god; enable; database; computer; alpha; admin123; Admin; abcd; aaa;
      88888888; 2600; 2004; 2003; 123asd; 123abc; 123456789; 1234567;
      123123; 121212; 11111111; 110; 007; 00000000; 000000; pass; 54321;
      12345; password; passwd; server; sql; !@; $%^&*; !@; $%^&; !@; $%^;
      !@; $%; asdfgh; asdf; !@; $; 1234; 111; root; abc123; 12345678;
      abcdefg; abcdef; abc; 888888; 666666; 111111; admin; administrator;
      guest; 654321; 123456

Terminarea proceselor Procesele care contin urmatoarele siruri de caractere sunt oprite:
   • RISING; SKYNET; SYMANTEC; MCAFEE; GATE; RFW.EXE; RAVMON.EXE; KILL;
      NAV; DUBA; KAV

Lista cu serviciile dezactivate:
   • Rising Realtime Monitor Service
   • Symantec AntiVirus Server
   • Symantec AntiVirus Client

Backdoor Deschide portul

– %directorul de activare malware%\%fisier executat% port TCP aleator pentru a oferi functionalitate de backdoor.

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
• UPX

Descrizione inserita da Irina Boldea su martedì 16 maggio 2006
Descrizione aggiornata da Irina Boldea su lunedì 5 giugno 2006

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti