Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Lovgate.ah - może infekować pliki PE EXE

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail, w sieciach lokalnych oraz przy użyciu programu KaZaA. Ma postać pliku PE EXE o rozmiarze 152 063 bajtów (kompresja ASPack, rozmiar po rozpakowaniu - około 250 KB). Szkodnik ma możliwość infekowania plików PE EXE.

Instalacja

Po uruchomieniu robak kopiuje się z następującymi nazwami:

  • %windir%\CDPlay.exe
  • %windir%\Exploier.exe
  • %system%\IEXPLORE.exe
  • %system%\iexplorer.exe
  • %system%\RAVMOND.exe
  • %system%\WinHelp.exe
  • %system%\spoolsv.exe
  • %system%\Update_OB.exe
  • %system%\TkBellExe.exe
  • %system%\hxdef.exe
  • %system%\Kernel66.dll

Dodatkowo szkodnik tworzy plik cdrom.com w folderach głównych wszystkich dostępnych dysków.

Robak może również zapisywać własne kopie w plikach ZIP posiadających losowe nazwy.

Szkodnik tworzy kilka kluczy w rejestrze systemowym:

  • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "WinHelp"="%system%\TkBellExe.exe"
    "Hardware Profile"=""="%system%\hxdef.exe"
    "Microsoft Associates, Inc."=" "="%system%\iexplorer.exe"
    "SystemTra"=""="%swindir%\CdPlay.exe"
    "Shell Extension"=""="%system%\spollsv.exe"
  • [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
    "COM++ System"="Exploier.exe"

Dodatkowo robak dodaje do pliku win.ini polecenie, dzięki któremu plik RAVMOND.exe uruchamiany jest wraz z każdym startem Windows.

Szkodnik modyfikuje wpisy rejestru, w wyniku czego może przejmować kontrolę podczas otwierania plików tekstowych:

txtfile\shell\open\command
"default"="Update_OB.exe %1"

W celu oznaczenia swojej obecności w systemie robak tworzy poniższy klucz rejestru:

HKLM\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1]

Rozprzestrzenianie - sieci lokalne

Robak kopiuje się na dostępne napędy sieciowe z następującymi nazwami:

  • autoexec.bat
  • Cain.pif
  • client.exe
  • Documents and Settings.txt.exe
  • findpass.exe
  • i386.exe
  • Internet Explorer.bat
  • Microsoft Office.exe
  • mmc.exe
  • MSDN.ZIP.pif
  • Support Tools.exe
  • Windows Media Player.zip.exe
  • WindowsUpdate.pif
  • winhlp32.exe
  • WinRAR.exe
  • xcopy.exe

Jeżeli wykryty zostanie program KaZaA szkodnik kopiuje się do jego foldera współdzielonego z nazwami:

  • wrar320sc
  • REALONE
  • BlackIcePCPSetup_creak
  • Passware5.3
  • word_pass_creak
  • HEROSOFT
  • orcard_original_creak
  • rainbowcrack-1.1-win
  • W32Dasm
  • setup

Rozszerzenia kopii wybierane są spośród następujących możliwości: BAT, EXE, PIF, SCR.

Robak podejmuje próby uzyskania dostępu do konta administratorów korzystając z następującej listy haseł:

!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
0
000000
00000000
007
1
110
111
111111
11111111
12
121212
123
123123
1234
12345
123456
1234567
12345678
123456789
123abc
123asd
2003
2004
2600
321
54321
654321
666666
888888
88888888
a
aaa
abc
abc123
abcd
abcdef
abcdefg
admin
Admin
admin123
administrator
Administrator
alpha
asdf
asdfgh
computer
database
enable
god
godblessyou
guest
Guest
home
Internet
Login
login
love
mypass
mypass123
mypc
mypc123
oracle
owner
pass
passwd
password
Password
pc
pw
pw123
pwd
root
secret
server
sex
sql
super
sybase
temp
temp123
test
test123
win
xp
xxx
yxcv
zxcv

Po udanym zalogowaniu robak kopiuje się z nazwą \admin$\system32\NetManager.exe i uruchamia ten plik jako usługę Windows Management Network Service Extensions.

Rozprzestrzenianie - wiadomości e-mail

Robak odpowiada na wszystkie wiadomości zapisane w skrzynce odbiorczej. Dodatkowo potencjalnych adresy ofiar pobierane są z plików posiadających rozszerzenia: WAB, HTM, PL, ADB, TBB, DBX, ASP, PHP, SHT, HTM.

Zainfekowane wiadomości wyglądają następująco:

  • Temat (wybierany spośród następujących możliwości):
    Message header (chosen at random from the list below)
    Mail  failed.  For further assistance, please contact!
    The  message  sent as  a binary attachment.
    It's the long-awaited film version of the Broadway hit.
    The message contains Unicode characters and has been 
    sent as a binary attachment.
  • Treść (wybierana spośród następujących możliwości):
    If you can keep your head when all about you
    Are losing theirs and blaming it on you;
    If you can trust yourself when all men doubt you,
    But make allowance for their doubting too;
    If you can wait and not be tired by waiting,
    Or, being lied about,don',27h,'t deal in lies,
    Or, being hated, don',27h,'t give way to hating,
    And yet don',27h,'t look too good, nor talk too wise;
    ... ... more  look to the attachment.
  • Nazwa załącznika (wybierana spośród następujących możliwości):

    I am For u.doc.exe
    Britney spears nude.exe.txt.exe
    joke.pif
    DSL Modem Uncapper.rar.exe
    Industry Giant II.exe
    StarWars2 - CloneAttack.rm.scr
    dreamweaver MX (crack).exe
    Shakira.zip.exe
    SETUP.EXE
    Macromedia Flash.scr
    How to Crack all gamez.exe
    Me_nude.AVI.pif
    s3msong.MP3.pif
    Deutsch BloodPatch!.exe
    Sex in Office.rm.scr
    the hardcore game-.pif

Informacje dodatkowe

Wirus zamyka procesy, których nazwy zawierają następujące teksty:

  • Duba
  • Gate
  • KAV
  • kill
  • KV
  • McAfee
  • NAV
  • RavMon.exe
  • Rfw.exe
  • rising
  • SkyNet
  • Symantec
  • Rising Realtime Monitor Service
  • Symantec Antivirus Server
  • Symantec Client

Robak gromadzi informacje o zainfekowanym komputerze i zapisuje je w pliku C:\Netlog.txt, który wysyłany jest za pośrednictwem poczty elektronicznej.

Szkodnik instaluje backdoora na porcie TCP 6000 i oczekuje na zdalne polecenia.

W kodzie robaka zapisany jest tekst:

I-WORM-ffff Running!

Szkodnik skanuje dyski od C: do Z: w poszukiwaniu plików EXE, zmienia ich rozszerzenie na ZMX, po czym tworzy własne kopie z oryginalnymi nazwami przemianowanych plików.



 2004-07-08  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych