VírusWorm/Lovgate.AU.2
Data em que surgiu:01/07/2004
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De médio a elevado
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:143.360 Bytes
MD5 checksum:ebb2e4a8c367e6d0967ac89ef89580cd
Versão VDF:6.26.00.12

 Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local


Alias:
   •  Symantec: W32.Lovgate.X@mm
   •  Mcafee: W32/Lovgate.ac@MM
   •  Kaspersky: Email-Worm.Win32.LovGate.ad
   •  Sophos: W32/Lovgate-F
   •  Grisoft: I-Worm/Lovgate
   •  Bitdefender: Win32.LovGate.AC@mm


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\realsched.exe
   • %SYSDIR%\vptray.exe
   • %SYSDIR%\hxdef.exe
   • %SYSDIR%\RAVMOD.exe
   • %SYSDIR%\IEXPLORE.EXE
   • %SYSDIR%\kernel66.dll
   • %WINDIR%\SYSTRA.EXE
   • %unidade%\COMMAND.EXE



São criados os seguintes ficheiros:

%unidade%\AUTORUN.INF É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • [AUTORUN]
     Open="%unidade%\COMMAND.EXE" /StartExplorer

%directório de execução do malware%\results.txt
%SYSDIR%\ODBC16.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Lovgate.W.2

%SYSDIR%\msjdbc11.dll Detectado como: Worm/Lovgate.W.2

%SYSDIR%\LMMIB20.DLL Detectado como: Worm/Lovgate.W.2

%SYSDIR%\MSSIGN30.DLL Detectado como: Worm/Lovgate.W.2

%SYSDIR%\NetMeeting.exe Detectado como: Worm/Lovgate.W.1

%WINDIR%\suchost.exe Detectado como: Worm/Lovgate.AU.1




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • rundll.exe
Executa o ficheiro com um dos seguintes parâmetros: %dll de malware% ondll_reg


– Executa um dos seguintes ficheiros:
   • rundll.exe
Executa o ficheiro com um dos seguintes parâmetros: %dll de malware% ondll_install

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WinHelp"="%SYSDIR%\realsched.exe"
   • "Hardware Profile"="%SYSDIR%\hxdef.exe"
   • "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices]
   • "SystemTra"="%WINDIR%\SysTra.EXE"



São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– [HKLM\SYSTEM\CurrentControlSet\Services\_reg]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="Rundll32.exe msjdbc11.dll ondll_server"
   • "DisplayName"="_reg"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\_reg\Security]
   • "Security"=%valores hex%



São adicionadas as seguintes chaves ao registo:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="RAVMOND.exe"

– [HKCR\txtfile\shell\open\command]
   • @="vptray.exe %1"

 Infecção de ficheiros O arquivo a seguir está infectado:

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.
O endereço do remetente é a conta do utilizador do Outlook.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.


Assunto:
Um dos seguintes:
   • ERROR
   • hello
   • hi
   • Mail Delivery System
   • Mail TRansaction Failed
   • Server Report
   • Status
   • TEST

Nalguns casos o assunto pode não conter texto.
O assunto pode, também, ter caracteres aleatórios.


Corpo:
–  Nalguns casos pode estar vazio.
–  Nalguns casos pode ter caracteres aleatórios.


O corpo do email tem uma das seguintes linhas:
   • Mail failed. For further assistance, please contact!
   • The message contains Unicode characters and has been sent as a binary attachment.
   • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
   • pass


Atalho:

   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %uma série de caracteres aleatórios%

   • bat
   • cmd
   • exe
   • pif
   • scr
   • zip
   •

O ficheiro de atalho é uma cópia do malware.

 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • .htm
   • .sht
   • .php
   • .asp
   • .dbx
   • .tbb
   • .adb
   • .wab


Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • accoun; certific; listserv; ntivi; support; icrosoft; the.bat;
      gold-certs; feste; submit; service; privacy; somebody; contact;
      rating; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; be_loyal:; mozilla; utgers.ed; tanford.e;
      acketst; secur; isc.o; isi.e; ripe.; arin.; sendmail; rfc-ed; usenet;
      linux; kernel; google; ibm.com; mit.e; berkeley; ruslis; nodomai;
      mydomai; example; inpris; borlan; sopho; panda; hotmail; icrosof;
      -._!@; abuse


Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • \%computadores no domínio actual%\%todas as pastas partilhadas%\WinRAR.exe
   • \%computadores no domínio actual%\%todas as pastas partilhadas%\Internet Explorer.bat
   • \%computadores no domínio actual%\%todas as pastas partilhadas%\Documents and Settings.txt.exe
   • \%computadores no domínio actual%\%todas as pastas partilhadas%\Microsoft Office.exe
   • \%computadores no domínio actual%\%todas as pastas partilhadas%\Windows Media Player.zip.exe
   • \%computadores no domínio actual%\%todas as pastas partilhadas%\Support Tools.exe
   • \%computadores no domínio actual%\%todas as pastas partilhadas%\WindowsUpdate.pif
   • \%computadores no domínio actual%\%todas as pastas partilhadas%\Cain.pif
   • \%computadores no domínio actual%\%todas as pastas partilhadas%\MSDN.ZIP.pif
   • \%computadores no domínio actual%\%todas as pastas partilhadas%\autoexec.bat
   • \%computadores no domínio actual%\%todas as pastas partilhadas%\findpass.exe
   • \%computadores no domínio actual%\%todas as pastas partilhadas%\client.exe
   • \%computadores no domínio actual%\%todas as pastas partilhadas%\i386.exe
   • \%computadores no domínio actual%\%todas as pastas partilhadas%\winhlp32.exe
   • \%computadores no domínio actual%\%todas as pastas partilhadas%\xcopy.exe
   • \%computadores no domínio actual%\%todas as pastas partilhadas%\mmc.exe


Criação de endereços IP:
Gera endereços IP aleatoriamente, guardando somente os três primeiros octetos do seu endereço. De seguida tenta estabelecer ligação com os endereços gerados.

 Terminar o processo A seguinte lista de processos são terminados:
   • KV; KAV; Duba; NAV; kill; RavMon.exe; Rfw.exe; Gate; McAfee; Symantec;
      SkyNet; rising


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Andrei Ivanes em sexta-feira, 2 de junho de 2006
Descrição atualizada por Andrei Ivanes em sexta-feira, 2 de junho de 2006

Voltar . . . .