Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Lovgate.W.3
Data em que surgiu:21/05/2004
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:De mdio a elevado
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:118.784 Bytes
MD5 checksum:b622c59dfb06aaa01382a7db6bfb9e75
Verso VDF:6.25.00.74

 Vulgarmente Meios de transmisso:
   • E-mail
   • Rede local
   • Peer to Peer


Alias:
   •  Symantec: W32.Lovgate.R@mm
   •  Mcafee: W32/Lovgate.x@MM
   •  Kaspersky: Email-Worm.Win32.LovGate.w
   •  Sophos: W32/Lovgate-V
   •  Grisoft: I-Worm/Lovgate.X
   •  VirusBuster: I-Worm.Lovgate.AP2
   •  Eset: Win32/Lovgate.Z
   •  Bitdefender: Win32.Lovgate.V@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Utiliza o seu prprio motor de E-mail
   • Baixa as definies de segurana
   • Altera o registo do Windows
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizaes
   • %raiz da unidade de sistema%\WINDOWS\SYSTRA.EXE
   • %raiz da unidade de sistema%\COMMAND.EXE
   • %raiz da unidade de sistema%\WINDOWS\System32\IEXPLORE.EXE
   • %raiz da unidade de sistema%\WINDOWS\System32\RAVMOND.exe
   • %raiz da unidade de sistema%\WINDOWS\System32\hxdef.exe
   • %raiz da unidade de sistema%\WINDOWS\System32\kernel66.dll



Copia-se dentro de ficheiros para as seguintes localizaes:
   • %raiz da unidade de sistema%\WORK.ZIP
   • %raiz da unidade de sistema%\WORK.RAR
   • %raiz da unidade de sistema%\setup.ZIP
   • %raiz da unidade de sistema%\setup.RAR
   • %raiz da unidade de sistema%\Important.ZIP
   • %raiz da unidade de sistema%\Important.RAR
   • %raiz da unidade de sistema%\bak.ZIP
   • %raiz da unidade de sistema%\bak.RAR
   • %raiz da unidade de sistema%\letter.ZIP
   • %raiz da unidade de sistema%\letter.RAR
   • %raiz da unidade de sistema%\pass.ZIP
   • %raiz da unidade de sistema%\pass.RAR



So criados os seguintes ficheiros:

%raiz da unidade de sistema%\WINDOWS\System32\ODBC16.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Lovgate.W.DLL

%raiz da unidade de sistema%\WINDOWS\System32\msjdbc11.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Lovgate.W.DLL

%raiz da unidade de sistema%\WINDOWS\System32\MSSIGN30.DLL Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Lovgate.W.DLL

%raiz da unidade de sistema%\WINDOWS\System32\NetMeeting.exe Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Lovgate.W.1

%raiz da unidade de sistema%\AUTORUN.INF

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
   • "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
   • "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Hardware Profile"="%SYSDIR%\hxdef.exe"



Adiciona a seguinte chave ao registo do Windows para executar o servio ao iniciar o sistema:

HKLM\SYSTEM\CurrentControlSet\Services\_reg
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=Rundll32.exe msjdbc11.dll ondll_server
   • "DisplayName"="_reg"
   • "ObjectName"="LocalSystem"



adicionada a seguinte chave de registo:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="RAVMOND.exe"

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:
Utiliza o Messaging Application Programming Interface (MAPI) para responder a e-mails guardados na caixa de entrada. As caractersticas so as seguintes:


De:
O endereo do remetente falsificado.
Endereos gerados. No assuma que inteno do remetente enviar este email para si. Ele pode no saber que tem o sistema infectado, pode mesmo no estar infectado. Alm disso provvel que receba emails que digam que est infectado. Pode no ser o caso.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.
 Endereos de e-mail recolhidos do WAB (Windows Address Book).
– Endereos gerados


Assunto:
Um dos seguintes:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System
   • hello
   • Re:%assunto original%

O assunto pode, tambm, ter caracteres aleatrios.


Corpo:
–  Nalguns casos pode ter caracteres aleatrios.


O corpo do email tem uma das seguintes linhas:
   • Mail failed. For further assistance, please contact!
   • The message contains Unicode characters and has been sent as a binary attachment.
   • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
O corpo do email o seguinte:

   • %remetente original% wrote:
     ====
     %corpo original%
     ====
     %domnio do rementente% account auto-reply
     
      If you can keep your head when all about you
      Are losing theirs and blaming it on you;
      If you can trust yourself when all men doubt you,
      But make allowance for their doubting too;
      If you can wait and not be tired by waiting,
      Or, being lied about,don't deal in lies,
      Or, being hated, don't give way to hating,
      And yet don't look too good, nor talk too wise;
      ... ... more look to the attachment.
     
      > Get your FREE %domnio do rementente% now! <


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • the hardcore game-.pif
   • Sex in Office.rm.scr
   • Deutsch BloodPatch!.exe
   • s3msong.MP3.pif
   • Me_nude.AVI.pif
   • How to Crack all gamez.exe
   • Macromedia Flash.scr
   • SETUP.EXE
   • Shakira.zip.exe
   • dreamweaver MX (crack).exe
   • StarWars2 - CloneAttack.rm.scr
   • Industry Giant II.exe
   • DSL Modem Uncapper.rar.exe
   • joke.pif
   • Britney spears nude.exe.txt.exe
   • I am For u.doc.exe
O nome do ficheiro de atalho construdo a partir do seguinte:

–  Comea por um dos seguintes:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document
   • %uma srie de caracteres aleatrios%

    A extenso do ficheiro uma das seguintes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

O ficheiro de atalho uma cpia do malware.

O ficheiro de atalho contm uma cpia do prprio malware.



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereos:
Procura endereos de email nos seguintes ficheiros:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm
   • txt
   • tmp


Endereos gerados para os campos PARA e DE:
Utiliza o seguinte texto para gerar endereos:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; brent; adam; ted; fred; jack; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      jim; maria; leo; jose; andrew; sam; george; david; kevin; mike; james;
      michael; alex; john

Combina o resultado com domnios encontrados em ficheiros, previamente pesquisados por endereos.

Tem um dos seguintes domnios:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Endereos evitados:
No envia emails para endereos com os seguintes blocos de texto:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www; be_loyal:


Adicinado texto MX ao incio:
De forma a obter o endereo IP do servidor de email tem capacidade de adicionar (ao incio) do nome de domnio os seguintes textos:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte aco:


Procura por todos os directrios partilhados.

   Em caso de ser bem sucedido, so criados os seguintes ficheiros:
   • Support Tools.exe; Cain.pif; client.exe; Documents and
      Settings.txt.exe; findpass.exe; i386.exe; Internet Explorer.bat;
      Microsoft Office.exe; mmc.exe; MSDN.ZIP.pif; Support Tools.exe;
      Windows Media Player.zip.exe; WindowsUpdate.pif; winhlp32.exe;
      WinRAR.exe; xcopy.exe

   Os ficheiros so cpias do prprio malware.

 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.

Envia uma cpia de si prprio seguinte partilha de rede:
   • admin$\system32


Usa a seguinte informao de login para ganhar acesso mquina remota:

A seguinte lista de nomes de utilizadores:
   • Guest
   • Administrator

A seguinte lista de palavras-chave:
   • zxcv; yxcv; xxx; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; Password; owner; oracle; mypc123; mypc;
      mypass123; mypass; love; login; Login; Internet; home; godblessyou;
      god; enable; database; computer; alpha; admin123; Admin; abcd; aaa;
      88888888; 2600; 2004; 2003; 123asd; 123abc; 123456789; 1234567;
      123123; 121212; 11111111; 110; 007; 00000000; 000000; pass; 54321;
      12345; password; passwd; server; sql; !@; $%^&*; !@; $%^&; !@; $%^;
      !@; $%; asdfgh; asdf; !@; $; 1234; 111; root; abc123; 12345678;
      abcdefg; abcdef; abc; 888888; 666666; 111111; admin; administrator;
      guest; 654321; 123456


 Terminar o processo So terminados os processos com um dos seguintes textos:
   • RISING; SKYNET; SYMANTEC; MCAFEE; GATE; RFW.EXE; RAVMON.EXE; KILL;
      NAV; DUBA; KAV


Lista de servios desactivados:
   • Rising Realtime Monitor Service
   • Symantec AntiVirus Server
   • Symantec AntiVirus Client

 Backdoor  aberta a seguinte porta:

%directrio de execuo do malware%\%ficheiro executado% numa porta TCP aleatria Por forma a fornecer capacidades backdoor.

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Irina Boldea em quarta-feira, 25 de outubro de 2006
Descrição atualizada por Irina Boldea em segunda-feira, 6 de novembro de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.