Kezdolap  
 
   


W32/Lovgate.c@M

Adatlap

Megjelenés dátuma: 2003.02.24.
Eredete: Ismeretlen
Hossza: Változó
Típusa: Vírus
Altípusa: Internet programféreg

Előfordulás valószínűsége

Vállalati környezet: ALACSONY
Otthoni felhasználók: ALACSONY

Utolsó módosítás: 2003. február 28.

Tulajdonságok:

A McAfee víruselemző csoportja (AVERT) a Lovgate vírus egy 78,848 bájt hosszúságú változatát azonosította (C variáns), ezt csak a 4249-es és újabb adatbázisok ismerik fel.

A programféreg email-en (van saját SMTP modulja) és hálózati megosztásokon keresztül terjed. Emelett egy trójai programot is telepít a számítógépre (a 10168-as portot nyitja meg a fertőzött számítógépen.)

Levelező komponens

A programféreg az Outlook Express és az Outlook Inbox mappában (Bejövő üzenetek) lévő minden üzenetre automatikusan válaszol, amihez saját SMTP modulját és az smtp.163.com-ot használja. A féreg csatolt állományként van jelen az üzenetekben, az alábbi állománynevek egyikét használja:

  • fun.exe
  • images.exe
  • news_doc.exe
  • s3msong.exe
  • pics.exe
  • billgt.exe
  • midsong.exe
  • PsPGame.exe
  • hamster.exe
  • setup.exe
  • tamagotxi.exe
  • joke.exe
  • docs.exe
  • searchurl.exe
  • card.exe
  • pics.exe

Ezenkívűl az alábbi szabályszerűséget követve küldi tovább magát (ennek tudható be, hogy sokkal lassabban terjed, mint a klasszikus "mass-mailer" vírusok - ezt jelzi a vírus nevében a @M jelzés):

Ha az Inbox-ban lévő üzenet a ???@wherever.com címről érkezett, akkor a válaszlevél formátuma:

'name' wrote:
====

> Message body

====

 wherever.com account auto-reply:

  ' I'll try to reply as soon as possible.
  Take a look at the attachment and send me your opinion!'

      > Get your Free wherever.com account now! <

 

Programféreg komponens

A féreg képes hálózati megosztásokon keresztül is terjedni. Megkeresi a hálózaton megosztott könyvtárakat, alkönyvtárakat és az alábbi állománynevek valamelyikén odamásolja magát:

  • fun.exe
  • images.exe
  • news_doc.exe
  • s3msong.exe
  • pics.exe
  • billgt.exe
  • midsong.exe
  • PsPGame.exe
  • hamster.exe
  • setup.exe
  • tamagotxi.exe
  • joke.exe
  • docs.exe
  • searchurl.exe
  • card.exe
  • pics.exe

A programféreg továbbá megkeresi a %Personal% könyvtárban a .HT* állományokban található email címeket és az alábbi módon továbbküldi magát:

Subject: Cracks!
Body: Check our list and mail your requests!
Attachment: CrkList.exe
vagy
Subject: The patch
Body: I think all will work fine.
Attachment: Patch.exe
vagy
Subject: Last Update
Body: This is the last cumulative update.
Attachment: LUPdate.exe
vagy
Subject: Do not release
Body: This is the pack ;)
Attachment: Pack.exe
vagy
Subject: Beta
Body: Send reply if you want to be official beta tester.
Attachment: _SetupB.exe
vagy
Subject: Help
Body: I'm going crazy... please try to find the bug!
Attachment: Source.exe
vagy
Subject: Evaluation copy
Body: Test it 30 days for free.
Attachment: Setup.exe
vagy
Subject: Pr0n!
Body: Adult content!!! Use with parental advisory.
Attachment: Sex.exe
vagy
Subject: Roms
Body: Test this ROM! IT ROCKS!
Attachment: Roms.exe
vagy
Subject: Documents
Body: Send me your comments...
Attachment: Docs.exe

 

Trójai komponens

A féreg egy 77,824 byte hosszú trójai programot is telepít a számítógépre az alábbi állománynevek valamelyikén:

  • ILY.DLL,
  • 1.DLL,
  • REG.DLL,
  • TASK.DLL.

A trójai program megnyitja a 10468-as portot és figyelmeztető email-t küld a a hacker117@163.com
és hello_dll@163.com címre. (Az email-ben a számítógép általános tulajdonságait is elküldi - egyes esetekben jelszavakat is.) A trójai program detektálásához a 4249-es adatbázisok szükségesek.

Tünetek:

  • Bejegyzések a regisztrációs adatbázisban (Registry)
  • A fent említett állományok jelenléte
  • Nyitott 10168 port

A fertőzés menete:

A féreg email-en és hálózati megosztásokon keresztül terjed. Válaszlevélként továbbküldi magát és/vagy bemásolja magát a megosztott hálózati könyvtárakba.

Futtatása után bemásolja magát a %System% könyvtárba:

  • WinGate.exe
  • rpcsrv.exe
  • syshelp.exe
  • winrpc.exe
  • WinRpcsrv.exe

A trójai komponens is a %System% könyvtárba kerül az alábbi néven:

  • 1.dll
  • reg.dll
  • ily.dll
  • task.dll

(Megjegyzés: a %System% könyvtár a Windows operációs rendszerek rendszerkönyvtára, amely általában a C:\Windows\System könyvtárat jelenti Windows 9x/ME, C:\WINNT\System32 a Windows NT/2000, és a C:\Windows\System32 Windows XP esetén.)

Az alábbi kulcsok jönnek létre a regisztrációs adatbázisban:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"syshelp" = C:\WINDOWS\SYSTEM\syshelp.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"WinGate initialize" = C:\WINDOWS\SYSTEM\WinGate.exe -remoteshell

A trójai komponens szintén bejegyzést készít Regsitry-ben:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Module Call initialize" = RUNDLL32.EXE reg.dll ondll_reg

Az alábbi kulcs a szöveges állományok megnyitási módját állítja át:

HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Default) = "winrpc.exe %1"

A féreg Windows NT/2000 operációs rendszeren 'Window Remote Service' néven szervizként települ (WINRPCSRV.EXE). A trójai program szintén szervizként

  1. dll_reg
  2. Windows Management Extension

néven települ. A féreg módosítja a WIN.INI állományt az alábbiak szerint:

[windows]
run=rpcsrv.exe

Eltávolítási utasítások:

1. Használja a 4249-es adatbázisokat.

2. Az alábbi EXTRA.DAT adatbázisokkal:

  • EXTRA.DAT - másolja be abba a könyvtárba, ahol a CLEAN.DAT, NAMES.DAT, és SCAN.DAT található, majd indítsa újra a víruskereső program szervizét (C:\Program Files\Common Files\Network Associates\VirusScan Engine\4.0.xx)
  • SuperExtraDat

Kiegészítő eltávolítási utasítások Windows ME/XP-hez

Változatok:

"A" variáns: 77,312 byte
"B" variáns:84,992 byte
"C" variáns:78,848 byte

További elnevezések:

I-Worm.Supnot.c (AVP)
W32.HLLW.Lovgate.C@mm (NAV)
W32/Lovgate.c@M
WORM_LOVGATE.C (Trend)
  
  A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2003.