Нужно починить ПК?
Найми профи
Имя:Worm/Lovgate.F
Обнаружен:13/05/2003
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:107.008 байт.
Контрольная сумма MD5:5d73aba7169ebfd2bdfd99437d5d8b11
Версия IVDF:6.19.00.15 - вторник, 13 мая 2003 г.

 Общее Методы распространения:
   • Email
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.HLLW.Lovgate.G@mm
   •  Mcafee: W32/Lovgate.f@M
   •  Kaspersky: Email-Worm.Win32.LovGate.f
   •  F-Secure: W32/Lovgate.F@mm
   •  Sophos: W32/Lovgate-E
   •  Panda: W32/Lovgate.F
   •  Eset: Win32/Lovgate.G
   •  Bitdefender: Win32.LovGate.F@mm


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Использует собственный почтовый движок
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %SYSDIR%\IEXPLORE.EXE
   • %SYSDIR%\kernel66.dll
   • %SYSDIR%\RAVMOND.exe
   • %SYSDIR%\WinDriver.exe
   • %SYSDIR%\WinGate.exe
   • %SYSDIR%\WinHelp.exe
   • %SYSDIR%\winrpc.exe



Создаются следующие файлы:

%SYSDIR%\111.dll (81920 bytes) Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Lovgate.F.2

%SYSDIR%\ily668.dll (81920 bytes) Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Lovgate.F.2

%SYSDIR%\reg678.dll (81920 bytes) Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Lovgate.F.2

%SYSDIR%\Task688.dll (81920 bytes) Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Lovgate.F.2

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WinHelp"="%SYSDIR%\WinHelp.exe"
   • "WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
   • "Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"



Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\ll_reg]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=Rundll32.exe Task688.dll ondll_server
     "DisplayName"="ll_reg"
     "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\
   NetMeeting Remote Desktop (RPC) Sharing]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=Rundll32.exe Task688.dll ondll_server
     "DisplayName"="NetMeeting Remote Desktop (RPC) Sharing"
     "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Windows Management Instrumentation Driver Extension]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=%SYSDIR%\WinDriver.exe -start_server
     "DisplayName"="Windows Management Instrumentation Driver Extension"
     "ObjectName"="LocalSystem"



Изменяются следующие ключи реестра:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Новое значение:
   • "run"="RAVMOND.exe"

– [HKLM\SOFTWARE\Classes\txtfile\shell\open\command]
   Новое значение:
   • @="winrpc.exe %1"

 Email Программа обладает собственным SMTP ядром для рассылки спама. Для этого устанавливается прямое соединение с сервером. Подробности приведены здесь:
Программа использует MAPI для отправки ответов на сохраненные письма. При этом устанавливается прямое соединение с сервером. Подробности приведены ниже:


От:
Адрес отправителя был фальсифицирован.
Адрес отправителя - учетная запись пользователя Outlook


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты


Тема:
Одно из следующих:
   • Reply to this!
   • Let's Laugh
   • Last Update
   • for you
   • Great
   • Help
   • Attached one Gift for u..
   • Hi Dear
   • Hi
   • See the attachement



Тело:
Тело письма имеет один из следующих видов:
   • For further assistance, please contact!
   • Copy of your message, including all the headers is attached.
   • This is the last cumulative update.
   • Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
   • Send reply if you want to be official beta tester.
   • This message was created automatically by mail delivery software (Exim).
   • It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
   • Adult content!!! Use with parental advisory.
   • Patrick Ewing will give Knick fans something to cheer about Friday night.
   • Send me your comments...


Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • About_Me.txt.pif
   • driver.exe
   • Doom3 Preview!!!.exe
   • enjoy.exe
   • YOU_are_FAT!.TXT.pif
   • Source.exe
   • Interesting.exe
   • README.TXT.pif
   • images.pif
   • Pics.ZIP.scr

Прикрепленный файл является копией вредоносной программы:

 Отправка Поиск адресов:
Проверка следующего файла на наличие в нем электронных адресов:
   • *.ht*


MX Server:
Обладает способностью связаться со следующим MX сервером:
   • smtp.163.com

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующие сетевые ресурсы общего доступа:
   • Are you looking for Love.doc.exe
   • autoexec.bat
   • The world of lovers.txt.exe
   • How To Hack Websites.exe
   • Panda Titanium Crack.zip.exe
   • Mafia Trainer!!!.exe
   • 100 free essays school.pif
   • AN-YOU-SUCK-IT.txt.pif
   • Sex_For_You_Life.JPG.pif
   • CloneCD + crack.exe
   • Age of empires 2 crack.exe
   • MoviezChannelsInstaler.exe
   • Star Wars II Movie Full Downloader.exe
   • Winrar + crack.exe
   • SIMS FullDownloader.zip.exe
   • MSN Password Hacker and Stealer.exe


Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

– Следующий список имен пользователей:
   • Guest
   • Administrator

– Список паролей:
   • zxcv; yxcv; xxx; xp; win; test123; test; temp123; temp; sybase; super;
      sex; secret; pwd; pw123; pw; pc; Password; owner; oracle; mypc123;
      mypc; mypass123; mypass; love; login; Login; Internet; home;
      godblessyou; god; enable; database; computer; alpha; admin123; Admin;
      abcd; aaa; aa; 88888888; 2600; 2003; 2002; 123asd; 123abc; 123456789;
      1234567; 123123; 121212; 12; 11111111; 110; 007; 00000000; 000000; 0;
      pass; 54321; 12345; password; passwd; server; sql; !@; $%^&*; !@;
      $%^&; !@; $%^; !@; $%; asdfgh; asdf; !@; $; 1234; 111; 11; root;
      abc123; 12345678; abcdefg; abcdef; abc; 888888; 666666; 111111; admin;
      administrator; guest; 654321; 123456; 321; 123



Генарация IP адресов:
Создаются случайные IP адреса. Первые три части IP адреса совпадают с реальным собственным адресом. Производится попытка установить соединение с этими адресами.

 Backdoor Открывается порт:

%SYSDIR%\lsass.exe по TCP порту 1092 для обеспечения удаленной оболочки

 Инфицирование –  Следующий файл вставляется в процесс: %SYSDIR%\111.dll


– Backdoor-процедура вставляется в процесс.

    Имя процесса:
   • %SYSDIR%\lsass.exe


 Разное Мьютекс:
Создаются мьютексы:
   • CTF.Compart.Mutex
   • CTF.Asm.Mutex
   • CTF.Layouts.Mutex
   • CTF.TMD.Mutex
   • CTF.TimListCache.FMP

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • Aspack

Описание добавил Petre Galan в(о) понедельник, 5 октября 2009 г.
Описание обновил Petre Galan в(о) вторник, 6 октября 2009 г.

Назад . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Все права защищены.

Мой Аккаунт

https:// Это окно зашифровано для вашей безопасности.