Имя:Worm/LovGate.X.1
Обнаружен:15/05/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:23.552 байт.
Контрольная сумма MD5:5d279f9a47a257d2804a926064d446c4
Версия VDF:6.34.01.85
Версия IVDF:6.34.01.86

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Kaspersky: Email-Worm.Win32.LovGate.x
   •  Sophos: W32/Lovgate-V
   •  VirusBuster: I-Worm.Lovgate.AP6
   •  Eset: Win32/Lovgate.Z
   •  Bitdefender: Win32.Lovgate.V@mm


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Использует уязвимость ПО

 Файлы Создается собственная копия:
   • %SYSDIR%\spollsv.exe

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Shell Extension"="%SYSDIR%\spollsv.exe"

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.


Эксплойт:
Используется следующая брешь в безопасности:
– MS03-026 (Переполнение буфера RPC Interface)


Генарация IP адресов:
Создаются случайные IP адреса. Первые три части IP адреса совпадают с реальным собственным адресом. Производится попытка установить соединение с этими адресами.


Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.

 Backdoor Открывается порт:

%SYSDIR%\spollsv.exe к произвольному TCP порту для обеспечения FTP сервера.

Описание добавил Irina Boldea в(о) пятница, 15 сентября 2006 г.
Описание обновил Irina Boldea в(о) понедельник, 18 сентября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.