W32/Lovgate.ad@MM

Adatlap

Felfedezés időpontja: 2004. 07. 01.

Eredet: Ismeretlen

Hossz: 152 064 bájt

Típus: Vírus

Altípus: e-mail programféreg

Szükséges adatbázis: 4372

Szükséges keresőmotor: 4.2.40

 

Előfordulás valószínűsége

Vállalati környezet: Közepes

Otthoni felhasználók: Közepes

 

Tulajdonságok

Ez a variáns többszörösen tömörített, az általa hordozott backdoor komponens a 4339-es adatbázisokkal már feismerheto, BackDoor-AQJ néven.

A programféreg a következő főbb tulajdonságokban hasonlít elődeihez:

Backdoor komponenst telepít a fertőzött számítógépre

Megpróbál rosszul biztosított távoli megosztásokon keresztül terjedni, állandó IP-cím vizsgálattal hozzáférhető IPC$ vagy ADMIN$ megosztásokat keres.

Megosztást hoz létre a fertőzött számítógépen "MEDIA" névvel.

E-mailen terjed, saját STMP-rutinját használva az üzenetek küldéséhez. Az e-mailek melléklete általában ZIP archívum. A fertőzött levelek általában a gépen található levelekre küldött válaszok (MAPI).

EXE fájlokat önmaga másolatával pótol, az eredeti fájlt .ZMX kiterjesztésűre nevezi át. Ettől valamennyi EXE fájl futtatásakor először a vírus kódja fog lefutni.

Leállít számos, antivírus és egyéb biztonsági termékekhez kapcsolható folyamatot

A programféreg kihasználja a windows távoli eljáráshíváshívásában talált, MS03-026 jelű biztonsági hiányosságot a hálózati terjedés érdekében.

Proaktív védelem

A vírus által elhelyezett backdoor komponens már a 4339-es adatbázisokkal is észlelhető, BackDoor-AQJ néven.

 

Tünetek

A programféreg futtatásakor a következő fájlokat helyezi el a rendszeren, melyek mindegyike a programféreg egy-egy példánya, 152 064 bájt mérettel.

%WinDir%\System32\IEXPLORE.EXE

%WinDir%\System32\KERNEL66.DLL

%WinDir%\System32\RAVMOND.exe

%WinDir%\System32\HXDEF.EXE

%WinDir%\System32\UPDATE_OB.EXE

%WinDir%\System32\TKBELLEXE.EXE

%WinDir%\SYSTRA.EXE

%WinDir%\SVCHOST.EXE.EXE

C:\COMMAND.EXE

Egy-egy AUTORUN.INF nevű fájl szintén létrejön minden meghajtó gyökér-könyvtárában, aminek a célja a command.exe futtatása a windows auto-run opciójának segítségével.

A következő DLL-ek a backdoor komponens fájljai:

%WinDir%\System32\MSJDBC11.DLL

%WinDir%\System32\MSSIGN30.DLL

%WinDir%\System32\ODBC16.DLL

%WinDir%\System32\LMMIB20.DLL

A programféreg egy másolata .ZIP vagy .RAR kiterjesztésű ZIP archívumban előfordulhat a helyi és csatlakoztatott hálózati meghajtók gyökér-könyvtárában. Az archívumban a programféreg COM, EXE, PIF vagy SCR kiterjesztéssel szerepel. Az archívum neve a következők valamelyike:

• password
• email
• book
• letter
• bak
• work
• Important

A programféreg a rendszer valamennyi indításakor automatikusan betöltődik, ezt a következő registry bejegyzések biztosítják:

• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows "run" = RAVMOND.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Program In Windows" = %SysDir%\IEXPLORE.EXE
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices "SystemTra" = %WinDir%\SYSTRA.EXE

A következő bejegyzések a programféreg indítására szolgálnak:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "VFW Encoder/Decoder Settings" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Protected Storage" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg

A backdoor komponens két szolgáltatásként fut a fertőzött számítógépen. A két szolgáltatás az alábbi jellemzőkkel bír:

Megjelenítési név: _reg
Elérési út: Rundll32.exe msjdbc11.dll ondll_server
Indítás: automatikus

Megjelenítési név: Windows Management Protocol v.0 (experimental)
Leírás: Windows Advanced Server. Performs scheduled scans for LANguard.
Elérési út: Rundll32.exe msjdbc11.dll ondll_server
Indítás: automatikus

A következő kulcsok tárolják a szolgáltatások információit:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Protocol v.0 (experimental)

EXE fájlok fertőzése

A programféreg a hálózati meghajtókon található EXE fájlokat önmaga másolatával pótolja, az eredeti fájlok .ZMX kiterjersztést kapnak.

Folyamatok leállítása

A programféreg leállít minden, az alábbi karaktersorozatok bármelyikét tartalmazó folyamatot:

• rising
• SkyNet
• Symantec
• McAfee
• Gate
• Rfw.exe
• RavMon.exe
• kill
• Duba

 

A fertőzés menete

E-mailen keresztül

A vírus két módon terjed: önmaga által létrehozott SMTP üzenetek küldésével, illetve a rendszeren lévő üzenetekre válaszolva MAPI-n keresztül.

Saját SMTP-motorral létrehozott üzeneteihez a címzettek a helyi számítógépről kerülnek összegyujtésre. A programféreg nem küld levelet olyan címzetteknek, amelyek címében előfordul a féregbe kódolt listában szereplő karaktersorozatok bármelyike.

A programféreg az Outlook és Outlook Express levelezőkliensekben található olvasatlan üzenetekre is válaszol, a megválasztolt üzenetet törli.

A válaszlevél felépítése:

Tárgy: Re: eredeti tárgy
Üzenettörzs:

======
eredeti üzenettörzs
====== 
Mail auto-reply:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.

> Get your FREE YAHOO.COM Mail now! <

Az önállóan létrehozott üzenetek felépítése:

Lehetséges tárgy-mezők:

• hi
• hello
• Hello
• Mail transaction Failed
• mail delivery system

Az üzenettörzs a következők valamelyike:

• Mail  failed.  For further assistance, please contact!
• The message contains Unicode characters and has been sent as a binary attachment.
• It's the long-awaited film version of the Broadway hit. The  message  sent as  a binary attachment.

Melléklet: (Véletlenszerű karakterlánc a következő kiterjesztések valamelyikével):

•  EXE
•  PIF
• SCR
• ZIP

Terjedés fájlcserélőkön keresztül

A következő fájlneveken a vírus bármelyik könyvtárban előfordulhat. Amennyiben ezt a könyvtárat valamelyik fájlcserélő program megosztott könyvtárnak használja, a fájl hozzáférhető lesz a hálózat felhasználói számára:

• Thank you.doc.exe
• 3D Flash Animator.rar.bat
• SWF Browser2.93.txt.exe
• Download.exe
• Panda  Crack.zip.exe
• WinRAR V3.2.0 Beta 2.exe
• Swish2.00.pif
• AAdobe Photoshop7.0 creak.pif
• You_Life.JPG.pif
• CloneCD crack.exe
• WinZip v9.0 Beta Build 5480 crack.exe
• Real-DRAW PRO v3.10.exe
• Star Wars Downloader.exe
• HyperSnap-DX v5.20.01.exe
• Adobe Photoshop6.0.zip.exe
• HyperSnap-DX v4.51.01.exe

Hálózati terjedés

Távoli megosztásokat (IPC$ és ADMIN$) a vírus a belekódolt felhasználónév- és jelszólistából válogatva próbál feltörni. Ha a programféreg bejut egy ilyen megosztásra, ott megpróbálja lefuttatni önmagát. Ennek módja, hogy a következő nevet használja:

ADMIN$\SYSTEM32\NETMANAGER.EXE

És ezt távolról lefuttatja, mint szolgáltatást. A szolgáltatás a következő jellemzőket mutatja:

Megjelenítési név: Windows Management NetWork Service Extensions
Elérési útvonal: NetManager.exe -exe_start
Indítás: Automatikus

Ez a szolgáltatás a hálózatra kötött számítógépekre próbál bejelentkezni Administrator felhasználónévvel és a következő jelszavak használatával:

• Guest
• Administrator
• zxcv
• yxcv
• test123
• test
• temp123
• temp
• sybase
• super
• secret
• pw123
• Password
• owner
• oracle
• mypc123
• mypc
• mypass123
• mypass
• love
• login
• Login
• Internet
• home
• godblessyou
• enable
• database
• computer
• alpha
• admin123
• Admin
• abcd
• 88888888
• 2600
• 2004
• 2003
• 123asd
• 123abc
• 123456789
• 1234567
• 123123
• 121212
• 11111111
• 00000000
• 000000
• pass
• 54321
• 12345
• password
• passwd
• server
• asdfgh
• asdf
• 1234
• root
• abc123
• 12345678
• abcdefg
• abcdef
• 888888
• 666666
• 111111
• admin
• administrator
• guest
• 654321
• 123456

A C:\%Windir%\Media\ könyvtárból hálózati megosztást készít "Media" névvel, és a következő, a programférget tartalmazó fájlokat helyezi el benne:

• WinRAR.exe
• Internet Explorer.bat
• Documents and Settings.txt.exe
• Microsoft Office.exe
• Windows Media Player.zip.exe
• Support Tools.exe
• Window
• Update.pif
• Cain.pif
• MSDN.ZIP.pif
• autoexec.bat
• findpass.exe
• client.exe
• i386.exe
• winhlp32.exe
• xcopy.exe
• mmc.exe

RPCDCOM sebezhetőség kihasználása

A programféreg első futtatásakor 2 fájlt (egyenként 61 440 bájt) helyez el a %WinDir%\System32\ könyvtárba, mint:

• SPOLLSV.EXE (W32/Lovgate.x@MM néven detektálható a 4352-es verzióval)
• NETMEETING.EXE (W32/Lovgate.x@MM néven detektálható a 4352-es verzióval)

Ezek a fájlok egy FTP-szerver alkalmazás részei, melyek a HXDEF.EXE fájl letöltését teszik lehetővé. A programféreg az MS03-026 sebezhetőség kihasználásával a sebezhető számítógépeken elindítja az FTP.EXE alkalmazást, melyek letöltik a fertőzött fájlt a fertőzött FTP-szerver számítógépről.

A számítógépeken a következő registry kulcs kerül létrehozásra, amely a programféreg betöltődéséért felel.

• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Run "Microsoft NetMeeting Associates, Inc." = NetMeeting.exe

 

Eltávolítási utasítások

Minden felhasználónak:
Használja a megjelent 4372-es adatbázisokat.

Stinger
A Stinger egyedi eltávolító program aktuális verziója képes a vírus felismerésére és eltávolítására.

Sniffer felhasználóknak:
A Lovgate.ad forgalmának felismerésére készüli szűrő az alábbi alkalmazásokhoz letölthető: Sniffer Distributed 4.1/4.2/4.3, Sniffer Portable 4.7/4.7.5, és Netasyst

• W32_LovGate.ad@MM - Sniffer Filters.zip

Threatscan felhasználóknak:
A ThreatScan W32/Lovgate.ad felismerésére készült szignatúrái az alábbi hivatkozásokon érhetők el:

• Threatscan 2.5 - ftp.nai.com/pub/security/tsc25/updates/winnt
• Threatscan 2.1 - ftp.nai.com/pub/security/tsc20/updates/winnt