Nume:Worm/Lovgate.AU.2
Descoperit pe data de:01/07/2004
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:143.360 Bytes
MD5:ebb2e4a8c367e6d0967ac89ef89580cd
Versiune VDF:6.26.00.12

 General Metode de raspandire:
   • Email
   • Reteaua locala


Alias:
   •  Symantec: W32.Lovgate.X@mm
   •  Mcafee: W32/Lovgate.ac@MM
   •  Kaspersky: Email-Worm.Win32.LovGate.ad
   •  Sophos: W32/Lovgate-F
   •  Grisoft: I-Worm/Lovgate
   •  Bitdefender: Win32.LovGate.AC@mm


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\realsched.exe
   • %SYSDIR%\vptray.exe
   • %SYSDIR%\hxdef.exe
   • %SYSDIR%\RAVMOD.exe
   • %SYSDIR%\IEXPLORE.EXE
   • %SYSDIR%\kernel66.dll
   • %WINDIR%\SYSTRA.EXE
   • %unitate disc%\COMMAND.EXE



Sunt create fisierele:

%unitate disc%\AUTORUN.INF Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • [AUTORUN]
     Open="%unitate disc%\COMMAND.EXE" /StartExplorer

%directorul de activare malware%\results.txt
– %SYSDIR%\ODBC16.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Lovgate.W.2

– %SYSDIR%\msjdbc11.dll Detectat ca: Worm/Lovgate.W.2

– %SYSDIR%\LMMIB20.DLL Detectat ca: Worm/Lovgate.W.2

– %SYSDIR%\MSSIGN30.DLL Detectat ca: Worm/Lovgate.W.2

– %SYSDIR%\NetMeeting.exe Detectat ca: Worm/Lovgate.W.1

– %WINDIR%\suchost.exe Detectat ca: Worm/Lovgate.AU.1




Incearca se execute urmatorul fisier:

– Numele fisierului:
   • rundll.exe
cu urmatorii parametri: %dll malware% ondll_reg


– Numele fisierului:
   • rundll.exe
cu urmatorii parametri: %dll malware% ondll_install

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WinHelp"="%SYSDIR%\realsched.exe"
   • "Hardware Profile"="%SYSDIR%\hxdef.exe"
   • "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices]
   • "SystemTra"="%WINDIR%\SysTra.EXE"



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\_reg]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="Rundll32.exe msjdbc11.dll ondll_server"
   • "DisplayName"="_reg"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\_reg\Security]
   • "Security"=%valori hex%



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="RAVMOND.exe"

– [HKCR\txtfile\shell\open\command]
   • @="vptray.exe %1"

 Infectie de fisiere Urmatorul fisier este infectat:

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.
De la: Adresa expeditorului este chiar contul Outlook al utilizatorului


Catre:
– Adrese de email gasite pe sistem.


Subiect:
Unul din urmatoarele:
   • ERROR
   • hello
   • hi
   • Mail Delivery System
   • Mail TRansaction Failed
   • Server Report
   • Status
   • TEST

Uneori subiectul poate lipsi.
In plus, subiectul email-ului ar putea contine litere aleatoare.


Corpul email-ului:
–  Uneori corpul email-ului este gol.
–  Uneori poate contine caractere aleatoare.

 
Corpul email-ului este unul din textele:
   • Mail failed. For further assistance, please contact!
   • The message contains Unicode characters and has been sent as a binary attachment.
   • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
   • pass


Atasament:

   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %combinatie de caractere aleatoare%

   • bat
   • cmd
   • exe
   • pif
   • scr
   • zip
   •

Atasamentul este o copie malware.

 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • .htm
   • .sht
   • .php
   • .asp
   • .dbx
   • .tbb
   • .adb
   • .wab


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • accoun; certific; listserv; ntivi; support; icrosoft; the.bat;
      gold-certs; feste; submit; service; privacy; somebody; contact;
      rating; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; be_loyal:; mozilla; utgers.ed; tanford.e;
      acketst; secur; isc.o; isi.e; ripe.; arin.; sendmail; rfc-ed; usenet;
      linux; kernel; google; ibm.com; mit.e; berkeley; ruslis; nodomai;
      mydomai; example; inpris; borlan; sopho; panda; hotmail; icrosof;
      -._!@; abuse


Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • \%calculatoarele din domeniul curent%\%toate directoarele share%\WinRAR.exe
   • \%calculatoarele din domeniul curent%\%toate directoarele share%\Internet Explorer.bat
   • \%calculatoarele din domeniul curent%\%toate directoarele share%\Documents and Settings.txt.exe
   • \%calculatoarele din domeniul curent%\%toate directoarele share%\Microsoft Office.exe
   • \%calculatoarele din domeniul curent%\%toate directoarele share%\Windows Media Player.zip.exe
   • \%calculatoarele din domeniul curent%\%toate directoarele share%\Support Tools.exe
   • \%calculatoarele din domeniul curent%\%toate directoarele share%\WindowsUpdate.pif
   • \%calculatoarele din domeniul curent%\%toate directoarele share%\Cain.pif
   • \%calculatoarele din domeniul curent%\%toate directoarele share%\MSDN.ZIP.pif
   • \%calculatoarele din domeniul curent%\%toate directoarele share%\autoexec.bat
   • \%calculatoarele din domeniul curent%\%toate directoarele share%\findpass.exe
   • \%calculatoarele din domeniul curent%\%toate directoarele share%\client.exe
   • \%calculatoarele din domeniul curent%\%toate directoarele share%\i386.exe
   • \%calculatoarele din domeniul curent%\%toate directoarele share%\winhlp32.exe
   • \%calculatoarele din domeniul curent%\%toate directoarele share%\xcopy.exe
   • \%calculatoarele din domeniul curent%\%toate directoarele share%\mmc.exe


Generarea adreselor IP:
Genereaza adrese IP aleatoare, pastrand doar primii trei octeti din propria adresa. Apoi incearca sa contacteze adresele create.

 Terminarea proceselor Lista cu procesele oprite:
   • KV; KAV; Duba; NAV; kill; RavMon.exe; Rfw.exe; Gate; McAfee; Symantec;
      SkyNet; rising


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Andrei Ivanes em sexta-feira, 2 de junho de 2006
Descrição atualizada por Andrei Ivanes em sexta-feira, 2 de junho de 2006

Voltar . . . .