VírusWorm/Lovgate.V
Data em que surgiu:04/04/2004
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De médio a elevado
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:126.976 Bytes
MD5 checksum:183597d85245115814705d4c6976421e
Versão VDF:6.24.00.84

 Vulgarmente Meios de transmissão:
   • E-mail
   • Rede local


Alias:
   •  Symantec: W32.Lovgate.R@mm
   •  Mcafee: W32/Lovgate.x@MM
   •  Kaspersky: Email-Worm.Win32.LovGate.w
   •  TrendMicro: WORM_LOVGATE.V
   •  Sophos: W32/Lovgate-V
   •  Grisoft: I-Worm/Lovgate.S
   •  VirusBuster: I-Worm.Lovgate.AL
   •  Eset: Win32/Lovgate.Z
   •  Bitdefender: Win32.Lovgate.V@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %raiz da unidade de sistema%\WINDOWS\SYSTRA.EXE
   • %raiz da unidade de sistema%\COMMAND.EXE
   • %raiz da unidade de sistema%\WINDOWS\System32\IEXPLORE.EXE
   • %raiz da unidade de sistema%\WINDOWS\System32\RAVMOND.exe
   • %raiz da unidade de sistema%\WINDOWS\System32\hxdef.exe
   • %raiz da unidade de sistema%\WINDOWS\System32\kernel66.dll



Copia-se dentro de ficheiros para as seguintes localizações:
   • %raiz da unidade de sistema%\WORK.ZIP
   • %raiz da unidade de sistema%\WORK.RAR
   • %raiz da unidade de sistema%\setup.ZIP
   • %raiz da unidade de sistema%\setup.RAR
   • %raiz da unidade de sistema%\Important.ZIP
   • %raiz da unidade de sistema%\Important.RAR
   • %raiz da unidade de sistema%\bak.ZIP
   • %raiz da unidade de sistema%\bak.RAR
   • %raiz da unidade de sistema%\letter.ZIP
   • %raiz da unidade de sistema%\letter.RAR
   • %raiz da unidade de sistema%\pass.ZIP
   • %raiz da unidade de sistema%\pass.RAR



São criados os seguintes ficheiros:

%raiz da unidade de sistema%\WINDOWS\System32\ODBC16.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Lovgate.W.2

%raiz da unidade de sistema%\WINDOWS\System32\msjdbc11.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Lovgate.W.2

%raiz da unidade de sistema%\WINDOWS\System32\MSSIGN30.DLL Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Lovgate.W.2

%raiz da unidade de sistema%\WINDOWS\System32\NetMeeting.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Lovgate.W.1

%raiz da unidade de sistema%\AUTORUN.INF

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
   • "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
   • "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Hardware Profile"="%SYSDIR%\hxdef.exe"



Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\_reg
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=Rundll32.exe msjdbc11.dll ondll_server
   • "DisplayName"="_reg"
   • "ObjectName"="LocalSystem"



É adicionada a seguinte chave de registo:

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="RAVMOND.exe"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:
Utiliza o Messaging Application Programming Interface (MAPI) para responder a e-mails guardados na caixa de entrada. As características são as seguintes:


De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
– Endereços gerados


Assunto:
Um dos seguintes:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System
   • hello
   • Re:%assunto original%

O assunto pode, também, ter caracteres aleatórios.


Corpo:
–  Nalguns casos pode ter caracteres aleatórios.


O corpo do email tem uma das seguintes linhas:
   • Mail failed. For further assistance, please contact!
   • The message contains Unicode characters and has been sent as a binary attachment.
   • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
O corpo do email é o seguinte:

   • %remetente original% wrote:
     ====
     %corpo original%
     ====
     %domínio do rementente% account auto-reply
     
      If you can keep your head when all about you
      Are losing theirs and blaming it on you;
      If you can trust yourself when all men doubt you,
      But make allowance for their doubting too;
      If you can wait and not be tired by waiting,
      Or, being lied about,don't deal in lies,
      Or, being hated, don't give way to hating,
      And yet don't look too good, nor talk too wise;
      ... ... more look to the attachment.
     
      > Get your FREE %domínio do rementente% now! <


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • the hardcore game-.pif
   • Sex in Office.rm.scr
   • Deutsch BloodPatch!.exe
   • s3msong.MP3.pif
   • Me_nude.AVI.pif
   • How to Crack all gamez.exe
   • Macromedia Flash.scr
   • SETUP.EXE
   • Shakira.zip.exe
   • dreamweaver MX (crack).exe
   • StarWars2 - CloneAttack.rm.scr
   • Industry Giant II.exe
   • DSL Modem Uncapper.rar.exe
   • joke.pif
   • Britney spears nude.exe.txt.exe
   • I am For u.doc.exe
O nome do ficheiro de atalho é construído a partir do seguinte:

–  Começa por um dos seguintes:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document
   • %uma série de caracteres aleatórios%

    A extensão do ficheiro é uma das seguintes:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

O ficheiro de atalho é uma cópia do malware.

O ficheiro de atalho contém uma cópia do próprio malware.



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm
   • txt
   • tmp


Endereços gerados para os campos PARA e DE:
Utiliza o seguinte texto para gerar endereços:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; brent; adam; ted; fred; jack; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      jim; maria; leo; jose; andrew; sam; george; david; kevin; mike; james;
      michael; alex; john

Combina o resultado com domínios encontrados em ficheiros, previamente pesquisados por endereços.

Tem um dos seguintes domínios:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com


Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www; be_loyal:


Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção: Procura por todos os directórios partilhados.

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • WinRAR.exe; Internet Explorer.bat; Documents and Settings.txt.exe;
      Microsoft Office.exe; Windows Media Player.zip.exe; Support Tools.exe;
      WindowsUpdate.pif; Cain.pif; MSDN.ZIP.pif; autoexec.bat; findpass.exe;
      client.exe; i386.exe; winhlp32.exe; xcopy.exe; mmc.exe

   Os ficheiros são cópias do próprio malware.

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia uma cópia de si próprio à seguinte partilha de rede:
   • admin$\system32


Usa a seguinte informação de login para ganhar acesso à máquina remota:

– A seguinte lista de nomes de utilizadores:
   • Guest
   • Administrator

– A seguinte lista de palavras-chave:
   • zxcv; yxcv; xxx; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; Password; owner; oracle; mypc123; mypc;
      mypass123; mypass; love; login; Login; Internet; home; godblessyou;
      god; enable; database; computer; alpha; admin123; Admin; abcd; aaa;
      88888888; 2600; 2004; 2003; 123asd; 123abc; 123456789; 1234567;
      123123; 121212; 11111111; 110; 007; 00000000; 000000; pass; 54321;
      12345; password; passwd; server; sql; !@; $%^&*; !@; $%^&; !@; $%^;
      !@; $%; asdfgh; asdf; !@; $; 1234; 111; root; abc123; 12345678;
      abcdefg; abcdef; abc; 888888; 666666; 111111; admin; administrator;
      guest; 654321; 123456


 Terminar o processo São terminados os processos com um dos seguintes textos:
   • RISING; SKYNET; SYMANTEC; MCAFEE; GATE; RFW.EXE; RAVMON.EXE; KILL;
      NAV; DUBA; KAV


Lista de serviços desactivados:
   • Rising Realtime Monitor Service
   • Symantec AntiVirus Server
   • Symantec AntiVirus Client

 Backdoor É aberta a seguinte porta:

%directório de execução do malware%\%ficheiro executado% numa porta TCP aleatória Por forma a fornecer capacidades backdoor.

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Irina Boldea em terça-feira, 16 de maio de 2006
Descrição atualizada por Irina Boldea em segunda-feira, 5 de junho de 2006

Voltar . . . .