Descrizione completa

Nome del virus:	Worm/Lovgate.F
Scoperto:	13/05/2003
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Medio-Basso
Potenziale di propagazione:	Medio-Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	107.008 Byte
Somma di controllo MD5:	5d73aba7169ebfd2bdfd99437d5d8b11
Versione IVDF:	6.19.00.15 - martedì 13 maggio 2003

Generale Metodi di propagazione:
   • Email
   • Rete locale

Alias:
   • Symantec: W32.HLLW.Lovgate.G@mm
   • Mcafee: W32/Lovgate.f@M
   • Kaspersky: Email-Worm.Win32.LovGate.f
   • F-Secure: W32/Lovgate.F@mm
   • Sophos: W32/Lovgate-E
   • Panda: W32/Lovgate.F
   • Eset: Win32/Lovgate.G
   • Bitdefender: Win32.LovGate.F@mm

Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro

File Si copia alle seguenti posizioni:
   • %SYSDIR%\IEXPLORE.EXE
   • %SYSDIR%\kernel66.dll
   • %SYSDIR%\RAVMOND.exe
   • %SYSDIR%\WinDriver.exe
   • %SYSDIR%\WinGate.exe
   • %SYSDIR%\WinHelp.exe
   • %SYSDIR%\winrpc.exe

Vengono creati i seguenti file:

– %SYSDIR%\111.dll (81920 bytes) Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Lovgate.F.2

– %SYSDIR%\ily668.dll (81920 bytes) Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Lovgate.F.2

– %SYSDIR%\reg678.dll (81920 bytes) Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Lovgate.F.2

– %SYSDIR%\Task688.dll (81920 bytes) Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Lovgate.F.2

Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WinHelp"="%SYSDIR%\WinHelp.exe"
   • "WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
   • "Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"

Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\ll_reg]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=Rundll32.exe Task688.dll ondll_server
     "DisplayName"="ll_reg"
     "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\
   NetMeeting Remote Desktop (RPC) Sharing]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=Rundll32.exe Task688.dll ondll_server
     "DisplayName"="NetMeeting Remote Desktop (RPC) Sharing"
     "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Windows Management Instrumentation Driver Extension]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=%SYSDIR%\WinDriver.exe -start_server
     "DisplayName"="Windows Management Instrumentation Driver Extension"
     "ObjectName"="LocalSystem"

Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Nuovo valore:
   • "run"="RAVMOND.exe"

– [HKLM\SOFTWARE\Classes\txtfile\shell\open\command]
   Nuovo valore:
   • @="winrpc.exe %1"

Email Contiene un motore SMTP integrato per inviare spam. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:
Utilizza il Messaging Application Programming Interface (MAPI) per inviare una risposta alle email contenute nella “InBox”. Le caratteristiche sono ulteriormente descritte:

Da:
L'indirizzo del mittente è falso.
L’indirizzo del mittente è l'account Outlook dell'utente.

A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)

Oggetto:
Uno dei seguenti:
   • Reply to this!
   • Let's Laugh
   • Last Update
   • for you
   • Great
   • Help
   • Attached one Gift for u..
   • Hi Dear
   • Hi
   • See the attachement

Corpo dell'email:
Il corpo dell’email è come uno dei seguenti:
   • For further assistance, please contact!
   • Copy of your message, including all the headers is attached.
   • This is the last cumulative update.
   • Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
   • Send reply if you want to be official beta tester.
   • This message was created automatically by mail delivery software (Exim).
   • It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
   • Adult content!!! Use with parental advisory.
   • Patrick Ewing will give Knick fans something to cheer about Friday night.
   • Send me your comments...

File allegato:
Il nome del file allegato è uno dei seguenti:
   • About_Me.txt.pif
   • driver.exe
   • Doom3 Preview!!!.exe
   • enjoy.exe
   • YOU_are_FAT!.TXT.pif
   • Source.exe
   • Interesting.exe
   • README.TXT.pif
   • images.pif
   • Pics.ZIP.scr

L'allegato è una copia del malware stesso.

Invio di messaggi Cerca indirizzi:
Cerca il seguente file per gli indirizzi email:
• *.ht*

Server MX:
Ha la capacità di contattare il server MX:
• smtp.163.com

“Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
   • Are you looking for Love.doc.exe
   • autoexec.bat
   • The world of lovers.txt.exe
   • How To Hack Websites.exe
   • Panda Titanium Crack.zip.exe
   • Mafia Trainer!!!.exe
   • 100 free essays school.pif
   • AN-YOU-SUCK-IT.txt.pif
   • Sex_For_You_Life.JPG.pif
   • CloneCD + crack.exe
   • Age of empires 2 crack.exe
   • MoviezChannelsInstaler.exe
   • Star Wars II Movie Full Downloader.exe
   • Winrar + crack.exe
   • SIMS FullDownloader.zip.exe
   • MSN Password Hacker and Stealer.exe

Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– La seguente lista di Nomi Utente:
   • Guest
   • Administrator

– La seguente lista di Password:
   • zxcv; yxcv; xxx; xp; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; pw; pc; Password; owner; oracle; mypc123;
      mypc; mypass123; mypass; love; login; Login; Internet; home;
      godblessyou; god; enable; database; computer; alpha; admin123; Admin;
      abcd; aaa; aa; 88888888; 2600; 2003; 2002; 123asd; 123abc; 123456789;
      1234567; 123123; 121212; 12; 11111111; 110; 007; 00000000; 000000; 0;
      pass; 54321; 12345; password; passwd; server; sql; !@; $%^&*; !@;
      $%^&; !@; $%^; !@; $%; asdfgh; asdf; !@; $; 1234; 111; 11; root;
      abc123; 12345678; abcdefg; abcdef; abc; 888888; 666666; 111111; admin;
      administrator; guest; 654321; 123456; 321; 123

Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi tre ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.

Backdoor Viene aperta la seguente porta:

– %SYSDIR%\lsass.exe sulla porta TCP 1092 con lo scopo di procurarsi una condivisione remota.

Come il virus si inserisce nei processi – Inserisce il seguente file in un processo: %SYSDIR%\111.dll

– Inserisce una procedura di backdoor in un processo.

Nome del processo:
• %SYSDIR%\lsass.exe

Varie Mutex:
Crea i seguenti Mutex:
   • CTF.Compart.Mutex
   • CTF.Asm.Mutex
   • CTF.Layouts.Mutex
   • CTF.TMD.Mutex
   • CTF.TimListCache.FMP

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• Aspack

Descrizione inserita da Petre Galan su lunedì 5 ottobre 2009
Descrizione aggiornata da Petre Galan su martedì 6 ottobre 2009

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti