Имя:Worm/Lovgate.W
Обнаружен:20/07/2005
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Средний
Потенциал распространения:Средний
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:179.200 байт.
Контрольная сумма MD5:EE60B144AEA5AA8550FD3E0A873CFF2C
Версия VDF:6.24.00.86

 Общее Методы распространения:
   • Email
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.HLLW.Lovgate.I@mm
   •  Mcafee: W32/Lovgate.w@M
   •  Kaspersky: Email-Worm.Win32.LovGate.gen
   •  TrendMicro: WORM_LOVGATE.W
   •  F-Secure: W32/Lovgate.W@mm
   •  Sophos: W32/Lovgate-AP
   •  Grisoft: I-Worm/Lovgate.X
   •  VirusBuster: I-Worm.Lovgate.BI
   •  Bitdefender: Win32.LovGate.W@mm


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Последствия:
   • Отключение приложений безопасности
   • Создает вредоносные файлы
   • Использует собственный почтовый движок
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %SYSDIR%\WinDriver.exe
   • %SYSDIR%\Winexe.exe
   • %SYSDIR%\WinGate.exe
   • %SYSDIR%\RAVMOND.exe
   • %SYSDIR%\IEXPLORE.EXE
   • %TEMPDIR%\%случайная буквенная комбинация%
   • c:\SysBoot.EXE
   • %WINDIR%\SYSTRA.EXE
   • %SYSDIR%\WinHelp.exe



Создает собственную копию с именем файла из списка
– Кому: %все папки общего доступа% С одним из следующих имен:
   • Are you looking for Love.doc.exe
   • autoexec.bat
   • The world of lovers.txt.exe
   • How To Hack Websites.exe
   • Panda Titanium Crack.zip.exe
   • Mafia Trainer!!!.exe
   • 100 free essays school.pif
   • AN-YOU-SUCK-IT.txt.pif
   • Sex_For_You_Life.JPG.pif
   • CloneCD + crack.exe
   • Age of empires 2 crack.exe
   • MoviezChannelsInstaler.exe
   • Star Wars II Movie Full Downloader.exe
   • Winrar + crack.exe
   • SIMS FullDownloader.zip.exe
   • MSN Password Hacker and Stealer.exe




Создаются следующие файлы:

– c:\AUTORUN.INF Файл является безвредным текстовым файлом со следующим содержимым:
   • [AUTORUN]
     Open="C:\SysBoot.EXE" /StartExplorer

%SYSDIR%\kernel66.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой.
%SYSDIR%\ily668.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой.
%SYSDIR%\task668.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой.
%SYSDIR%\reg667.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой.

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\software\microsoft\windows\currentversion\run\]
   • "WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
   • "Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
   • "WinHelp"="%SYSDIR%\WinHelp.exe"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"

– [HKLM\software\microsoft\windows\currentversion\runservices\]
   • "SystemTra"="%WINDIR%\SysTra.EXE /SysTra:Kernel32.Dll"



Добавляется следующий ключ реестра:

– [HKCU\software\microsoft\windows nt\currentversion\windows\]
   • "DebugOptions"="2048"
   • "Documents"=""
   • "DosPrint"="no"
   • "load"=""
   • "NetMessage"="no"
   • "NullPort"="None"
   • "Programs"="com exe bat pif cmd"
   • "run"="RAVMOND.exe"



Изменяется следующий ключ реестра:

– [HKCR\exefile\shell\open\command]
   Прежнее значение:
   • @="\"%1\" %*"
   Новое значение:
   • @="%SYSDIR%\winexe.exe \"%1\" %*"

 Email Программа использует Microsoft Oulook для рассылки электронных писем. Подробности приводятся здесь:
Программа использует MAPI для отправки ответов на сохраненные письма. При этом устанавливается прямое соединение с сервером. Подробности приведены ниже:


От:
Адрес отправителя - учетная запись пользователя Outlook


Кому:
– В определенных файлах системы были обнаружены электронные адреса.


Тема:
Одно из следующих:
   • "Reply to this!"
   • "Let's Laugh"
   • "Last Update"
   • "for you"
   • "Great"
   • "Help"
   • "Attached one Gift for u.."
   • "Hi Dear"
   • "See the attachement"



Тело:
Тело письма имеет один из следующих видов:
   • For further assistance, please contact!
   • Copy of your message, including all the headers is attached.
   • This is the last cumulative update.
   • Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
   • Send reply if you want to be official beta tester.
   • This message was created automatically by mail delivery software (Exim).
   • It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
   • Adult content!!! Use with parental advisory.
   • Patrick Ewing will give Knick fans something to cheer about Friday night.
   • Send me your comments...


Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • About_Me.txt.pif
   • driver.exe
   • Doom3 Preview!!!.exe
   • enjoy.exe
   • YOU_are_FAT!.TXT.pif
   • Source.exe
   • Interesting.exe
   • README.TXT.pif
   • images.pif
   • Pics.ZIP.scr

Прикрепленный файл является копией вредоносной программы:



Письмо могло бы выглядеть следующим образом:


 Отправка Поиск адресов:
Проверка следующего файла на наличие в нем электронных адресов:
   • %каждый *.htm файл%

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующую сетевой ресурс общего доступа:
   • %все папки общего доступа%


Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

– Следующее имя пользователя:
   • Administrator

– Список паролей:
   • zxcv; yxcv; xxx; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; Password; owner; oracle; mypc123; mypc;
      mypass123; mypass; love; login; Login; Internet; home; godblessyou;
      god; enable; database; computer; alpha; admin123; Admin; abcd; aaa;
      88888888; 2600; 2003; 2002; 123asd; 123abc; 123456789; 1234567;
      123123; 121212; 11111111; 110; 007; 00000000; 000000; pass; 54321;
      12345; password; passwd; server; sql; !@&; 035;$%^&*; !@&; 035;$%^&;
      !@&; 035;$%^; !@&; 035;$%; asdfgh; asdf; !@&; 035;$; 1234; 111; root;
      abc123; 12345678; abcdefg; abcdef; abc; 888888; 666666; 111111; admin;
      administrator; guest; 654321; 123456; 321; 123



Генарация IP адресов:
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.

 Завершение процесса Завершение процессов со следующими последовательностями в именах:
   • RISING; SKYNET; SYMANTEC; MCAFEE; GATE; RFW.EXE; RAVMON.EXE; KILL;
      NAV; DUBA; KAV


 Разное Сетевые папки общего доступа:
Создается следующий сетевой диск общего пользования:
   • %TEMPDIR%\


 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • ASPack 2.11

Описание добавил Andrei Gherman в(о) понедельник, 1 августа 2005 г.
Описание обновил Andrei Ivanes в(о) вторник, 14 марта 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.