Полное описание

Имя:	Worm/Lovgate.Q.2
Обнаружен:	31/03/2004
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	От среднего до высокого
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	114.176 байт.
Контрольная сумма MD5:	bd35823ecdb52252312d403b54c8760D
Версия VDF:	6.24.00.77

Общее Методы распространения:
   • Email
   • Локальная сеть
   • Одноранговая сеть

Псевдонимы (аliases):
   • Symantec: W32.Lovgate.R@mm
   • Mcafee: W32/Lovgate.q@MM
   • Kaspersky: Email-Worm.Win32.LovGate.q
   • TrendMicro: WORM_LOVGATE.Q
   • Sophos: W32/Lovgate-X
   • Grisoft: I-Worm/Lovgate.O
   • VirusBuster: I-I-Worm.Lovgate.AH
   • Eset: Win32/Lovgate.X
   • Bitdefender: Win32.Lovgate.R@mm

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Создает вредоносные файлы
   • Использует собственный почтовый движок
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создаются собственные копии:
   • %Корневая папка системного диска%\WINDOWS\SYSTRA.EXE
   • %Корневая папка системного диска%\COMMAND.EXE
   • %Корневая папка системного диска%\WINDOWS\System32\IEXPLORE.EXE
   • %Корневая папка системного диска%\WINDOWS\System32\RAVMOND.exe
   • %Корневая папка системного диска%\WINDOWS\System32\hxdef.exe
   • %Корневая папка системного диска%\WINDOWS\System32\kernel66.dll

Создаются архивы со своими копиями внутри:
   • %Корневая папка системного диска%\WORK.ZIP
   • %Корневая папка системного диска%\WORK.RAR
   • %Корневая папка системного диска%\setup.ZIP
   • %Корневая папка системного диска%\setup.RAR
   • %Корневая папка системного диска%\Important.ZIP
   • %Корневая папка системного диска%\Important.RAR
   • %Корневая папка системного диска%\bak.ZIP
   • %Корневая папка системного диска%\bak.RAR
   • %Корневая папка системного диска%\letter.ZIP
   • %Корневая папка системного диска%\letter.RAR
   • %Корневая папка системного диска%\pass.ZIP
   • %Корневая папка системного диска%\pass.RAR

Создаются следующие файлы:

– %Корневая папка системного диска%\WINDOWS\System32\ODBC16.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Lovgate.Q.1

– %Корневая папка системного диска%\WINDOWS\System32\msjdbc11.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Lovgate.Q.1

– %Корневая папка системного диска%\WINDOWS\System32\MSSIGN30.DLL Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Lovgate.Q.1

– %Корневая папка системного диска%\WINDOWS\System32\NetMeeting.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Lovgate.W.1

– %Корневая папка системного диска%\AUTORUN.INF

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
   • "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
   • "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   • "Hardware Profile"="%SYSDIR%\hxdef.exe"

Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– HKLM\SYSTEM\CurrentControlSet\Services\_reg
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=Rundll32.exe msjdbc11.dll ondll_server
   • "DisplayName"="_reg"
   • "ObjectName"="LocalSystem"

Добавляется следующий ключ реестра:

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="RAVMOND.exe"

Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
Программа использует MAPI для отправки ответов на сохраненные письма. При этом устанавливается прямое соединение с сервером. Подробности приведены ниже:

От:
Адрес отправителя был фальсифицирован.
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.

Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
– Сгенерированные адреса

Тема:
Одно из следующих:
   • Error
   • Status
   • Server Report
   • Mail Transaction Failed
   • Mail Delivery System
   • hello
   • Re:%первоначальная Тема%

Тема письма может содержать случайные знаки.

Тело:
– В некоторых случаях может содержать произвольные данные.
Тело письма имеет один из следующих видов:
   • Mail failed. For further assistance, please contact!
   • The message contains Unicode characters and has been sent as a binary attachment.
   • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
Тело письма имеет следующий вид:

   • %первоначальный отправитель% wrote:
     ====
     %первоначальное сообщение%
     ====
     %Домен отправителя% account auto-reply

      If you can keep your head when all about you
      Are losing theirs and blaming it on you;
      If you can trust yourself when all men doubt you,
      But make allowance for their doubting too;
      If you can wait and not be tired by waiting,
      Or, being lied about,don't deal in lies,
      Or, being hated, don't give way to hating,
      And yet don't look too good, nor talk too wise;
      ... ... more look to the attachment.

      > Get your FREE %Домен отправителя% now! <

Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • the hardcore game-.pif
   • Sex in Office.rm.scr
   • Deutsch BloodPatch!.exe
   • s3msong.MP3.pif
   • Me_nude.AVI.pif
   • How to Crack all gamez.exe
   • Macromedia Flash.scr
   • SETUP.EXE
   • Shakira.zip.exe
   • dreamweaver MX (crack).exe
   • StarWars2 - CloneAttack.rm.scr
   • Industry Giant II.exe
   • DSL Modem Uncapper.rar.exe
   • joke.pif
   • Britney spears nude.exe.txt.exe
   • I am For u.doc.exe
Имя прикрепленного файла образуется следующим образом:

– Начинается одним из следующих:
   • body
   • message
   • test
   • data
   • file
   • text
   • doc
   • readme
   • document
   • %случайная буквенная комбинация%

    Одно из следующих расширений файла:
   • bat
   • cmd
   • exe
   • scr
   • pif
   • zip

Прикрепленный файл является копией вредоносной программы:

Прикрепленный архивный файл содержит копию потенциально опасной программы.

Письмо выглядит следующим образом:

Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • wab
   • adb
   • tbb
   • dbx
   • asp
   • php
   • sht
   • htm
   • txt
   • tmp

Создание адресов отправителя и получателя:
Для генерации адресов применяются следующие строки:
   • sandra; linda; julie; jimmy; jerry; helen; debby; claudia; brenda;
      anna; brent; adam; ted; fred; jack; bill; stan; smith; steve; matt;
      dave; dan; joe; jane; bob; robert; peter; tom; ray; mary; serg; brian;
      jim; maria; leo; jose; andrew; sam; george; david; kevin; mike; james;
      michael; alex; john

Комбинируется с обнаруженным в файлах системы доменным именем.

Одно из следующих доменных имен:
   • hotmail.com
   • yahoo.com
   • msn.com
   • aol.com

Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • accoun; certific; listserv; ntivi; support; icrosoft; admin; page;
      the.bat; gold-certs; feste; submit; not; help; service; privacy;
      somebody; soft; contact; site; rating; bugs; you; your; someone;
      anyone; nothing; nobody; noone; webmaster; postmaster; samples; info;
      root; mozilla; utgers.ed; tanford.e; pgp; acketst; secur; isc.o;
      isi.e; ripe.; arin.; sendmail; rfc-ed; ietf; iana; usenet; fido;
      linux; kernel; google; ibm.com; fsf.; gnu; mit.e; bsd; math; unix;
      berkeley; foo.; .mil; gov.; .gov; ruslis; nodomai; mydomai; example;
      inpris; borlan; sopho; panda; icrosof; syma; avp; .edu; -._!; -._!@;
      abuse; www; be_loyal:

Присоединение последовательности символов:
Для получения IP адреса почтового сервера перед доменным именем указываются следующие строки:
   • gate.
   • ns.
   • relay.
   • mail1.
   • mxs.
   • mx1.
   • smtp.
   • mail.
   • mx.

P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия: Поиск всех папок общего доступа.

   При успешном завершении поиска создаются следующие файлы:
   • Thank you.doc.exe; 3D Flash Animator.rar.bat; SWF Browser2.93.txt.exe;
      Download.exe; Panda Crack.zip.exe; WinRAR V3.2.0 Beta 2.exe;
      Swish2.00.pif; AAdobe Photoshop7.0 creak.pif; You_Life.JPG.pif;
      CloneCD crack.exe; WinZip v9.0 Beta Build 5480 crack.exe; Real-DRAW
      PRO v3.10.exe; Star Wars Downloader.exe; HyperSnap-DX v5.20.01.exe;
      Adobe Photoshop6.0.zip.exe; HyperSnap-DX v4.51.01.exe

   Файлы являются копиями потенциально опасной программы

Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующую сетевой ресурс общего доступа:
   • admin$\system32

Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

– Следующий список имен пользователей:
   • Guest
   • Administrator

– Список паролей:
   • zxcv; yxcv; xxx; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; Password; owner; oracle; mypc123; mypc;
      mypass123; mypass; love; login; Login; Internet; home; godblessyou;
      god; enable; database; computer; alpha; admin123; Admin; abcd; aaa;
      88888888; 2600; 2004; 2003; 123asd; 123abc; 123456789; 1234567;
      123123; 121212; 11111111; 110; 007; 00000000; 000000; pass; 54321;
      12345; password; passwd; server; sql; !@; $%^&*; !@; $%^&; !@; $%^;
      !@; $%; asdfgh; asdf; !@; $; 1234; 111; root; abc123; 12345678;
      abcdefg; abcdef; abc; 888888; 666666; 111111; admin; administrator;
      guest; 654321; 123456

Завершение процесса Завершение процессов со следующими последовательностями в именах:
• RISING; SKYNET; SYMANTEC; MCAFEE; GATE; RFW.EXE; RAVMON.EXE; KILL;
NAV; DUBA; KAV

Backdoor Открывается порт:

– %Рабочая папка вредоносной программы%\%выполненный файл% к произвольному TCP порту для обеспечения backdoor функции.

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Irina Boldea в(о) понедельник, 23 октября 2006 г.
Описание обновил Irina Boldea в(о) понедельник, 6 ноября 2006 г.

Назад . . . .