PCの修理が必要ですか?
専門家に頼む
ウイルスWorm/Lovgate.F
発見日:13/05/2003
タイプワーム
感染報告有りはい
感染報告低~中
感染の可能性低~中
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ107.008 バイト
MD5 チェックサム5d73aba7169ebfd2bdfd99437d5d8b11
IVDFファージョン:6.19.00.15 - 2003年5月13日火曜日

 一般情報 感染方法
   • Eメール
   • ローカル・ネットワーク


別名
   •  Symantec(シマンテック) W32.HLLW.Lovgate.G@mm
   •  McAfee(マカフィー) W32/Lovgate.f@M
   •  Kaspersky(カスペルスキー) Email-Worm.Win32.LovGate.f
   •  F-Secure(エフ・セキュア) W32/Lovgate.F@mm
   •  Sophos(ソフォス) W32/Lovgate-E
   •  Panda W32/Lovgate.F
   •  Eset Win32/Lovgate.G
   •  ビットディフェンダー(Bitdefender): Win32.LovGate.F@mm


プラットフォーム/OS:
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003


副作用
   • 悪意ファイルを作成します。
   • それ自身のメール・エンジンを利用します。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • %SYSDIR%\IEXPLORE.EXE
   • %SYSDIR%\kernel66.dll
   • %SYSDIR%\RAVMOND.exe
   • %SYSDIR%\WinDriver.exe
   • %SYSDIR%\WinGate.exe
   • %SYSDIR%\WinHelp.exe
   • %SYSDIR%\winrpc.exe



以下のファイルが作成されます:

%SYSDIR%\111.dll (81920 bytes) 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: Worm/Lovgate.F.2

%SYSDIR%\ily668.dll (81920 bytes) 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: Worm/Lovgate.F.2

%SYSDIR%\reg678.dll (81920 bytes) 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: Worm/Lovgate.F.2

%SYSDIR%\Task688.dll (81920 bytes) 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: Worm/Lovgate.F.2

 レジストリ 再起動後そのプロセスを実行するため、以下の値のうちの1つを追加します:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WinHelp"="%SYSDIR%\WinHelp.exe"
   • "WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
   • "Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"



以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:

– [HKLM\SYSTEM\CurrentControlSet\Services\ll_reg]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=Rundll32.exe Task688.dll ondll_server
     "DisplayName"="ll_reg"
     "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\
   NetMeeting Remote Desktop (RPC) Sharing]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=Rundll32.exe Task688.dll ondll_server
     "DisplayName"="NetMeeting Remote Desktop (RPC) Sharing"
     "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Windows Management Instrumentation Driver Extension]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=%SYSDIR%\WinDriver.exe -start_server
     "DisplayName"="Windows Management Instrumentation Driver Extension"
     "ObjectName"="LocalSystem"



以下のレジストリ・キーは変更されます:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   新しい値
   • "run"="RAVMOND.exe"

– [HKLM\SOFTWARE\Classes\txtfile\shell\open\command]
   新しい値
   • @="winrpc.exe %1"

 Eメール それはスパムメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです:
MAPI(Messaging Application Programming Interface)を使って受信箱にあるメールに返信します。特徴は以下の通りです:


送信者
送信者のアドレスは改変されています(spoof)。
送信者のアドレスはユーザーのアウトルックのアカウントです。


宛先:
– システム内のあるファイルにあるメールアドレス
– ウインドウズ・アドレス帳(WAB)を使って集められたメールアドレス


件名
以下のもの:
   • Reply to this!
   • Let's Laugh
   • Last Update
   • for you
   • Great
   • Help
   • Attached one Gift for u..
   • Hi Dear
   • Hi
   • See the attachement



本文
メールの本文は以下の通りです:
   • For further assistance, please contact!
   • Copy of your message, including all the headers is attached.
   • This is the last cumulative update.
   • Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
   • Send reply if you want to be official beta tester.
   • This message was created automatically by mail delivery software (Exim).
   • It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
   • Adult content!!! Use with parental advisory.
   • Patrick Ewing will give Knick fans something to cheer about Friday night.
   • Send me your comments...


添付ファイル
添付ファイルの名前は:
   • About_Me.txt.pif
   • driver.exe
   • Doom3 Preview!!!.exe
   • enjoy.exe
   • YOU_are_FAT!.TXT.pif
   • Source.exe
   • Interesting.exe
   • README.TXT.pif
   • images.pif
   • Pics.ZIP.scr

添付ファイルは、マルウェア自身のコピーです。

 送信 アドレスの検索:
以下のファイルからメールアドレスを検索します:
   • *.ht*


MXサーバ
MXサーバにつなげる能力があります。
   • smtp.163.com

 ネットワーク感染 感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。

以下のネットワーク・シェアにそれ自身のコピーを作成します:
   • Are you looking for Love.doc.exe
   • autoexec.bat
   • The world of lovers.txt.exe
   • How To Hack Websites.exe
   • Panda Titanium Crack.zip.exe
   • Mafia Trainer!!!.exe
   • 100 free essays school.pif
   • AN-YOU-SUCK-IT.txt.pif
   • Sex_For_You_Life.JPG.pif
   • CloneCD + crack.exe
   • Age of empires 2 crack.exe
   • MoviezChannelsInstaler.exe
   • Star Wars II Movie Full Downloader.exe
   • Winrar + crack.exe
   • SIMS FullDownloader.zip.exe
   • MSN Password Hacker and Stealer.exe


リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します:

– 以下のユーザ名:
   • Guest
   • Administrator

– 以下のパスワード:
   • zxcv; yxcv; xxx; xp; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; pw; pc; Password; owner; oracle; mypc123;
      mypc; mypass123; mypass; love; login; Login; Internet; home;
      godblessyou; god; enable; database; computer; alpha; admin123; Admin;
      abcd; aaa; aa; 88888888; 2600; 2003; 2002; 123asd; 123abc; 123456789;
      1234567; 123123; 121212; 12; 11111111; 110; 007; 00000000; 000000; 0;
      pass; 54321; 12345; password; passwd; server; sql; !@; $%^&*; !@;
      $%^&; !@; $%^; !@; $%; asdfgh; asdf; !@; $; 1234; 111; 11; root;
      abc123; 12345678; abcdefg; abcdef; abc; 888888; 666666; 111111; admin;
      administrator; guest; 654321; 123456; 321; 123



IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の3つの8ビットは同じままです。その後それらと接続しようとします。

 バックドア 以下のポートが開かれます:

%SYSDIR%\lsass.exe TCPポートに 1092 リモートシェルを準備するため

 挿入(Injection) –  以下のファイルをプロセスに挿入させます: %SYSDIR%\111.dll


– バックドア・ルーチンをプロセスに挿入します。

    プロセス名:|以下のうちの1つ:
   • %SYSDIR%\lsass.exe


 その他 Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
   • CTF.Compart.Mutex
   • CTF.Asm.Mutex
   • CTF.Layouts.Mutex
   • CTF.TMD.Mutex
   • CTF.TimListCache.FMP

 ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。


ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
   • Aspack

説明の挿入者 Petre Galan の 2009年10月5日月曜日
説明の更新者 Petre Galan の 2009年10月6日火曜日

戻る . . . .
https:// このウィンドウは暗号化されています。