Имя:Worm/Lovgate.AU.2
Обнаружен:01/07/2004
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От среднего до высокого
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:143.360 байт.
Контрольная сумма MD5:ebb2e4a8c367e6d0967ac89ef89580cd
Версия VDF:6.26.00.12

 Общее Методы распространения:
   • Email
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Lovgate.X@mm
   •  Mcafee: W32/Lovgate.ac@MM
   •  Kaspersky: Email-Worm.Win32.LovGate.ad
   •  Sophos: W32/Lovgate-F
   •  Grisoft: I-Worm/Lovgate
   •  Bitdefender: Win32.LovGate.AC@mm


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

 Файлы Создаются собственные копии:
   • %SYSDIR%\realsched.exe
   • %SYSDIR%\vptray.exe
   • %SYSDIR%\hxdef.exe
   • %SYSDIR%\RAVMOD.exe
   • %SYSDIR%\IEXPLORE.EXE
   • %SYSDIR%\kernel66.dll
   • %WINDIR%\SYSTRA.EXE
   • %Диск%\COMMAND.EXE



Создаются следующие файлы:

%Диск%\AUTORUN.INF Файл является безвредным текстовым файлом со следующим содержимым:
   • [AUTORUN]
     Open="%Диск%\COMMAND.EXE" /StartExplorer

%Рабочая папка вредоносной программы%\results.txt
%SYSDIR%\ODBC16.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Lovgate.W.2

%SYSDIR%\msjdbc11.dll Определен как: Worm/Lovgate.W.2

%SYSDIR%\LMMIB20.DLL Определен как: Worm/Lovgate.W.2

%SYSDIR%\MSSIGN30.DLL Определен как: Worm/Lovgate.W.2

%SYSDIR%\NetMeeting.exe Определен как: Worm/Lovgate.W.1

%WINDIR%\suchost.exe Определен как: Worm/Lovgate.AU.1




Попытка запустить на выполнение следующий файл:

– Имя файла:
   • rundll.exe
с помощью следующего параметра командной строки: %malware dll% ondll_reg


– Имя файла:
   • rundll.exe
с помощью следующего параметра командной строки: %malware dll% ondll_install

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WinHelp"="%SYSDIR%\realsched.exe"
   • "Hardware Profile"="%SYSDIR%\hxdef.exe"
   • "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices]
   • "SystemTra"="%WINDIR%\SysTra.EXE"



Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\_reg]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="Rundll32.exe msjdbc11.dll ondll_server"
   • "DisplayName"="_reg"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\_reg\Security]
   • "Security"=%шестнадцатиричное значение%



Добавляются следующие ключи реестра:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="RAVMOND.exe"

– [HKCR\txtfile\shell\open\command]
   • @="vptray.exe %1"

 Инфицирование файлов Следующий файл инфицирован:

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.
Адрес отправителя - учетная запись пользователя Outlook


Кому:
– В определенных файлах системы были обнаружены электронные адреса.


Тема:
Одно из следующих:
   • ERROR
   • hello
   • hi
   • Mail Delivery System
   • Mail TRansaction Failed
   • Server Report
   • Status
   • TEST

Тема письма иногда может оставаться пустой.
Тема письма может содержать случайные знаки.


Тело:
–  В некоторых случаях может быть пустой.
–  В некоторых случаях может содержать произвольные данные.
Тело письма имеет один из следующих видов:
   • Mail failed. For further assistance, please contact!
   • The message contains Unicode characters and has been sent as a binary attachment.
   • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
   • pass


Прикрепленный файл:

   • body
   • data
   • doc
   • document
   • file
   • message
   • readme
   • test
   • text
   • %случайная буквенная комбинация%

   • bat
   • cmd
   • exe
   • pif
   • scr
   • zip
   •

Прикрепленный файл является копией вредоносной программы:

 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .htm
   • .sht
   • .php
   • .asp
   • .dbx
   • .tbb
   • .adb
   • .wab


Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • accoun; certific; listserv; ntivi; support; icrosoft; the.bat;
      gold-certs; feste; submit; service; privacy; somebody; contact;
      rating; someone; anyone; nothing; nobody; noone; webmaster;
      postmaster; samples; be_loyal:; mozilla; utgers.ed; tanford.e;
      acketst; secur; isc.o; isi.e; ripe.; arin.; sendmail; rfc-ed; usenet;
      linux; kernel; google; ibm.com; mit.e; berkeley; ruslis; nodomai;
      mydomai; example; inpris; borlan; sopho; panda; hotmail; icrosof;
      -._!@; abuse


Присоединение последовательности символов:
Для получения IP адреса почтового сервера перед доменным именем указываются следующие строки:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующие сетевые ресурсы общего доступа:
   • \%Компьютеры в данном домене%\%все папки общего доступа%\WinRAR.exe
   • \%Компьютеры в данном домене%\%все папки общего доступа%\Internet Explorer.bat
   • \%Компьютеры в данном домене%\%все папки общего доступа%\Documents and Settings.txt.exe
   • \%Компьютеры в данном домене%\%все папки общего доступа%\Microsoft Office.exe
   • \%Компьютеры в данном домене%\%все папки общего доступа%\Windows Media Player.zip.exe
   • \%Компьютеры в данном домене%\%все папки общего доступа%\Support Tools.exe
   • \%Компьютеры в данном домене%\%все папки общего доступа%\WindowsUpdate.pif
   • \%Компьютеры в данном домене%\%все папки общего доступа%\Cain.pif
   • \%Компьютеры в данном домене%\%все папки общего доступа%\MSDN.ZIP.pif
   • \%Компьютеры в данном домене%\%все папки общего доступа%\autoexec.bat
   • \%Компьютеры в данном домене%\%все папки общего доступа%\findpass.exe
   • \%Компьютеры в данном домене%\%все папки общего доступа%\client.exe
   • \%Компьютеры в данном домене%\%все папки общего доступа%\i386.exe
   • \%Компьютеры в данном домене%\%все папки общего доступа%\winhlp32.exe
   • \%Компьютеры в данном домене%\%все папки общего доступа%\xcopy.exe
   • \%Компьютеры в данном домене%\%все папки общего доступа%\mmc.exe


Генарация IP адресов:
Создаются случайные IP адреса. Первые три части IP адреса совпадают с реальным собственным адресом. Производится попытка установить соединение с этими адресами.

 Завершение процесса Список завершаемых процессов:
   • KV; KAV; Duba; NAV; kill; RavMon.exe; Rfw.exe; Gate; McAfee; Symantec;
      SkyNet; rising


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Ivanes в(о) пятница, 2 июня 2006 г.
Описание обновил Andrei Ivanes в(о) пятница, 2 июня 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.