Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

UWAGA! I-Worm.Lovgate.ad

Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail, przy użyciu udostępnionych zasobów sieciowych oraz za pośrednictwem systemów P2P. Szkodnik wykorzystuje także lukę w zabezpieczeniach systemów Windows (http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx). Robak ma postać pliku PE EXE o rozmiarze około 143 KB (kompresja ASPack, rozmiar po rozpakowaniu - około 255 KB). Szkodnik wyposażony jest w procedurę backdoor.

Instalacja

Po uruchomieniu robak kopiuje się do następujących folderów:

C:\COMMAND.EXE 
%System%\hxdef.exe 
%System%\IEXPLORE.EXE 
%System%\kernel66.dll 
%System%\RAVMOND.exe 
%System%\realsched.exe 
%System%\vptray.exe 
%Windir%\SYSTRA.EXE

Składniki backdoora umieszczane są w następujących folderach (program Kaspersky Anti-Virus wykrywa te składniki jako robaka I-Worm.Lovgate.w):

%System%\LMMIB20.DLL
%System%\msjdbc11.dll 
%System%\MSSIGN30.DLL 
%System%\ODBC16.dll

Szkodnik umieszcza w folderach głównych wszystkich dostępnych dysków plik AUTORUN.INF.

Lovegate.ad tworzy i uruchamia kopie swoich poprzedników - I-Worm.Lovgate.f oraz I-Worm.Lovgate.x:

%Windir%\suchost.exe 
%System%\NetMeeting.exe
%System%\spollsv.exe

Dla kilku kopii robaka tworzone są klucze auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z każdym startem systemu operacyjnego:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Hardware Profile"="%system%\hxdef.exe"
"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program In Windows"="%system%\IEXPLORE.EXE"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="%system%\spollsv.exe"
"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"WinHelp"="%system%\realsched.exe"

Dodatkowo szkodnik tworzy w rejestrze następujące klucze:

[HKLM\Software\Microsoft\Windows\CurrentVersion\runServices]
"COM++ System"="suchost.exe"
"SystemTra"="%Windir%\SysTra.EXE"
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\] "run"="RAVMOND.exe"

Ponadto robak modyfikuje rejestr systemowy, w wyniku czego jego kopia jest aktywowana podczas otwierania plików tekstowych:

[HKCR\txtfile\shell\open\command]
"default"="Update_OB.exe %1"

Rozprzestrzenianie - poczta elektroniczna

Robak automatycznie "odpowiada" na wszystkie wiadomości zapisane w skrzynce odbiorczej programów Microsoft Outlook oraz Outlook Express.

Adresy potencjalnych ofiar pobierane są z systemowej książki adresowej oraz z plików posiadających następujące rozszerzenia:

.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.wab

W celu wysyłania wiadomości robak nawiązuje bezpośrednie połączenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomości e-mail

Wiadomości będące odpowiedziami na listy zapisane w skrzynce odbiorczej wyglądają następująco:

  • Temat:
    Re: (temat oryginalny)
    
  • Treść:
    (treść oryginalna)
    
    If you can keep your head when all about you 
    Are losing theirs and blaming it on you; 
    If you can trust yourself when all men doubt you, 
    But make allowance for their doubting too; 
    If you can wait and not be tired by waiting, 
    Or, being lied about,don't deal in lies, 
    Or, being hated, don't give way to hating, 
    And yet don't look too good, nor talk too wise; 
    ... ... more look to the attachment. 
    
    > Get your FREE YAHOO.COM Mail now! <
    
  • Nazwa załącznika (wybierana z poniższych możliwości):
    Britney spears nude.exe.txt.exe 
    Deutsch BloodPatch!.exe 
    dreamweaver MX (crack).exe 
    DSL Modem Uncapper.rar.exe 
    How to Crack all gamez.exe 
    I am For u.doc.exe
    Industry Giant II.exe 
    joke.pif 
    Macromedia Flash.scr 
    Me_nude.AVI.pif 
    s3msong.MP3.pif 
    SETUP.EXE 
    Sex in Office.rm.scr 
    Shakira.zip.exe 
    StarWars2 - CloneAttack.rm.scr 
    the hardcore game-.pif
    

Wiadomości wysyłane przy użyciu bezpośredniego połączenia z serwerem SMTP odbiorcy wyglądają następująco:

  • Temat (wybierany z poniższych możliwości):
    Error
    hello 
    hi 
    Mail Delivery System 
    Mail Transaction Failed 
    Server Report 
    Status 
    test
    
  • Treść (wybierana z poniższych możliwości):
    Mail  failed.  For further assistance, please contact! 
    The message contains Unicode characters and has been sent 
    as a binary attachment. 
    It's the long-awaited film version of the Broadway hit. 
    The  message sent as  a binary attachment.
  • Nazwa załącznika (losowy plik posiadający jedno z poniższych rozszerzeń):
    .com 
    .exe
    .pif  
    .RAR
    .scr
    

Rozprzestrzenianie - luka w systemach Windows, systemy P2P oraz udostępnione zasoby sieciowe

Szkodnik wykorzystuje do rozprzestrzeniania się lukę w zabezpieczeniach systemów Windows. Więcej informacji na temat tej luki można znaleźć w biuletynie firmy Microsoft - http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx.

Robak podejmuje próby kopiowania się na wszystkie komputery dostępne w sieci lokalnej i usiłuje uzyskać dostęp do konta Administratora. w tym celu szkodnik wykorzystuje poniższą listę haseł:

!@#$ 
!@#$% 
!@#$%^ 
!@#$%^& 
!@#$%^&* 
000000 
00000000 
007 
110 
111 
111111 
11111111 
121212 
123 
123123 
1234 
12345 
123456 
1234567 
12345678 
123456789 
123abc 
123asd 
2003 
2004 
2600 
321 
54321 
654321 
666666 
888888 
88888888 
aaa 
abc 
abc123 
abcd 
abcdef 
abcdefg 
Admin 
admin 
admin123 
Administrator 
administrator 
alpha 
asdf 
asdfgh 
computer 
database 
enable 
god 
godblessyou 
Guest 
guest 
home 
Internet 
login 
Login 
love 
mypass 
mypass123 
mypc 
mypc123 
oracle 
owner 
pass 
passwd 
Password 
password 
pw123 
pwd 
root 
secret 
server 
sex 
sql 
super 
sybase 
temp 
temp123 
test 
test123 
win 
xxx 
yxcv 
zxcv

Po nawiązaniu połączenia robak kopiuje się do foldera \admin$\system32\NetManager.exe i uruchamia się jako usługa o nazwie Windows Management NetWork Service Extensions, a ponadto udostępnia w sieci lokalnej folder n:\windows\Media jako zasób \\Media.

Robak umieszcza własne kopie (z poniższymi nazwami) na wszystkich dostępnych zasobach sieciowych:

autoexec.bat 
Cain.pif 
client.exe 
Documents and Settings.txt.exe 
findpass.exe 
i386.exe 
Internet Explorer.bat 
Microsoft Office.exe 
mmc.exe 
MSDN.ZIP.pif 
Support Tools.exe 
Windows Media Player.zip.exe 
WindowsUpdate.pif 
winhlp32.exe 
WinRAR.exe 
xcopy.exe 

Zdalne zarządzanie

Szkodnik otwiera losowy port TCP i oczekuje na zdalne polecenia. Backdoor pozwala zdalnemu hakerowi na uzyskanie pełnego dostępu do zainfekowanego komputera.

Funkcje dodatkowe

Robak zamyka procesy posiadające następujące nazwy:

Duba 
Gate 
KAV 
kill 
KV 
McAfee 
NAV 
RavMon.exe 
Rfw.exe 
rising
SkyNet 
Symantec

Dodatkowo szkodnik nadpisuje własną kopią (podobnie, jak wirusy towarzyszące) wszystkie pliki EXE zapisane na dyskach od C: do Z:. W32/Lovgate.ah@MM (McAfee),   W32.Lovgate.AD@mm (Symantec),   Win32.HLLM.MyDoom.based (Doctor Web),   W32/Lovgate-F (Sophos),   Win32/Lovgate.AH@mm (RAV),   Worm/Lovgate.AD (H+BEDV),   W32/Lovgate.AK@mm (FRISK),   Win32:Lovgate-AK (ALWIL),   I-Worm/Lovgate (Grisoft),   Win32.LovGate.AC@mm (SOFTWIN),   Worm.Lovgate.AC (ClamAV),   W32/Lovgate.AO (Panda),   Win32/Lovgate.AK (Eset)



 2004-12-06  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych