Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияEmail-Worm.Win32.LovGate.ae

Email-Worm.Win32.LovGate.ae

Время детектирования 22 ноя 2004 12:52 MSK
Время выпуска обновления 22 ноя 2004 12:52 MSK
Описание опубликовано 04 фев 2005 20:23 MSK

Технические детали

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена и открытым сетевым ресурсам. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Также вирус распространяется, используя уязвимость в Microsoft Windows (подробное описание).

Червь является приложением Windows (PE EXE-файл), имеет размер около 152КБ, упакован при помощи ASPack. Размер распакованного файла — около 262KБ.

Червь содержит в себе бэкдор-функцию.

Инсталляция

После запуска червь копирует себя с различными именами в корень диска С:, а также в системный и корневой каталоги Windows:

C:\COMMAND.EXE
%System%\hxdef.exe
%System%\IEXPLORE.EXE
%System%\kernel66.dll
%System%\RAVMOND.exe
%System%\TkBellExe.exe
%System%\Update_OB.exe
%Windir%\SYSTRA.EXE

В системном каталоге Windows червь создает свои бэкдор-компоненты (Антивирус Касперского детектирует их как Email-Worm.Win32.LovGate.w):

%System%\LMMIB20.DLL
%System%\msjdbc11.dll
%System%\MSSIGN30.DLL
%System%\ODBC16.dll

Червь создает файл с именем AUTORUN.INF в корневом каталоге диска С:. Данный файл содержит следующие строки:

[AUTORUN]
Open="c:\COMMAND.EXE" /StartExplorer

Червь создает и запускает копии своей предыдущей модификации Email-Worm.Win32.LovGate.x:

%System%\NetMeeting.exe
%System%\spollsv.exe

Червь создает следующий файл в папке Windows:

%Windir%\svchost.exe

Email-Worm.Win32.Lovgate.ae регистрирует несколько своих копий в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "Hardware Profile"="%system%\hxdef.exe"
 "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
 "Program In Windows"="%system%\IEXPLORE.EXE"
 "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
 "Shell Extension"="%system%\spollsv.exe"
 "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
 "WinHelp"="%system%\TkBellExe.exe"

Также червь создает следующие ключи реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\runServices]
 "COM++ System"="svchost.exe"
 "SystemTra"="%Windir%\SysTra.EXE"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\]
 "run"="RAVMOND.exe"

Изменяет ключ системного реестра таким образом, чтобы при открытии текстовых файлов червь получал управление:

[HKCR\txtfile\shell\open\command]
 "default"="Update_OB.exe %1"

Распространение через email

Червь "отвечает" на входящие письма, находящиеся в папке "Входящие" Microsoft Outlook или Outlook Express. Также червь ищет адреса для рассылки себя через email в файлах с расширениями:

  • adb
  • asp
  • dbx
  • htm
  • php
  • pl
  • sht
  • tbb
  • wab

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

При автоматическом "ответе" на входящие письма зараженное письмо имеет следующие характеристики:

Тема письма:

  • Re: <тема изначального письма>

Текст письма:

  • <текст изначального письма>

    If you can keep your head when all about you
    Are losing theirs and blaming it on you;
    If you can trust yourself when all men doubt you,
    But make allowance for their doubting too;
    If you can wait and not be tired by waiting,
    Or, being lied about,don't deal in lies,
    Or, being hated, don't give way to hating,
    And yet don't look too good, nor talk too wise;
    ... ... more look to the attachment.

    > Get your FREE YAHOO.COM Mail now! <

Имя файла-вложения:

Выбирается из списка:

  • Britney spears nude.exe.txt.exe
  • Deutsch BloodPatch!.exe
  • dreamweaver MX (crack).exe
  • DSL Modem Uncapper.rar.exe
  • How to Crack all gamez.exe
  • I am For u.doc.exe
  • Industry Giant II.exe
  • joke.pif
  • Macromedia Flash.scr
  • Me_nude.AVI.pif
  • s3msong.MP3.pif
  • SETUP.EXE
  • Sex in Office.rm.scr
  • Shakira.zip.exe
  • StarWars2 - CloneAttack.rm.scr
  • the hardcore game-.pif

В случае, когда червь сам рассылает себя, используя SMTP-сервера, зараженное письмо имеет следующие характеристики:

Тема письма:

Выбирается из списка:

  • hello
  • hi
  • Mail Delivery System
  • Mail Transaction Failed

Текст письма:

Выбирается из списка:

  • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
  • Mail failed. For further assistance, please contact!
  • The message contains Unicode characters and has been sent as a binary attachment.

Имя прикрепляемого файла:

Создается случайным образом и может иметь следующие расширения:

  • com
  • exe
  • pif
  • RAR
  • scr
  • ZIP

Размножение через локальные и файлообменные сети

Email-Worm.Win32.Lovgate.ae распространяется, используя уязвимость в Microsoft Windows (подробное описание). Червь запускает свой код на удаленных компьютерах.

Червь копирует себя на все доступные компьютеры, найденные в локальной сети, пытаясь подобрать пароли к найденным ресурсам для аккаунта "Administrator". При переборе паролей используется следующая таблица:

  • 0
  • 0
  • 7
  • 110
  • 111
  • 123
  • 321
  • 1234
  • 2003
  • 2004
  • 2600
  • 12345
  • 54321
  • 111111
  • 121212
  • 123123
  • 123456
  • 654321
  • 666666
  • 888888
  • 1234567
  • 11111111
  • 12345678
  • 88888888
  • 123456789
  • !@#$
  • !@#$%
  • !@#$%^
  • !@#$%^&
  • !@#$%^&*
  • 123abc
  • 123asd
  • aaa
  • abc
  • abc123
  • abcd
  • abcdef
  • abcdefg
  • Admin
  • admin
  • admin123
  • Administrator
  • administrator
  • alpha
  • asdf
  • asdfgh
  • computer
  • database
  • enable
  • god
  • godblessyou
  • Guest
  • guest
  • home
  • Internet
  • login
  • Login
  • love
  • mypass
  • mypass123
  • mypc
  • mypc123
  • oracle
  • owner
  • pass
  • passwd
  • Password
  • password
  • pw123
  • pwd
  • root
  • secret
  • server
  • sex
  • sql
  • super
  • sybase
  • temp
  • temp123
  • test
  • test123
  • win
  • xxx
  • yxcv
  • zxcv

При удачном соединении копирует себя в "\admin$\system32\NetManager.exe" и запускает данный файл в качестве сервиса "Windows Management NetWork Service Extensions".

Червь создает папку "с:\windows\Media" доступной для доступа из локальной сети под именем \\Media.

Червь копирует себя на все доступные сетевые диски под именами:

  • autoexec.bat
  • Cain.pif
  • client.exe
  • Documents and Settings.txt.exe
  • findpass.exe
  • i386.exe
  • Internet Explorer.bat
  • Microsoft Office.exe
  • mmc.exe
  • MSDN.ZIP.pif
  • Support Tools.exe
  • Windows Media Player.zip.exe
  • WindowsUpdate.pif
  • winhlp32.exe
  • WinRAR.exe
  • xcopy.exe

Удаленное администрирование

Червь открывает на зараженной машине произвольный TCP-порт для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе.

Действие

Завершает процессы, содержащие в именах строки:

  • Duba
  • Gate
  • KAV
  • kill
  • KV
  • McAfee
  • NAV
  • RavMon.exe
  • Rfw.exe
  • rising
  • SkyNet
  • Symantec


Печать
Bookmark and Share
Закладки
Вирусы и черви
Email-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

  • прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
  • использование сервисов MS Outlook;
  • использование функций Windows MAPI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

  • рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
  • считывает адреса из адресной базы WAB;
  • сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
  • отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.


Другие модификации
Email-Worm.Win32.LovGate.a
Email-Worm.Win32.LovGate.ad
Email-Worm.Win32.LovGate.ah
Email-Worm.Win32.LovGate.g
Email-Worm.Win32.LovGate.w

Другие названия

Email-Worm.Win32.LovGate.ae («Лаборатория Касперского») также известен как:

  • I-Worm.LovGate.ae («Лаборатория Касперского»)
  • Virus: W32/Lovgate.am@MM (McAfee)
  • W32/Lovgate-AE (Sophos)
  • Worm.Lovgate.AE-2 (ClamAV)
  • W32/Lovgate.AL.worm (Panda)
  • W32/Lovgate.CA@mm (FPROT)
  • Worm:Win32/Lovgate.AE@mm (MS(OneCare))
  • Win32.HLLM.Lovgate.12 (DrWeb)
  • Win32/Lovgate.AR worm (Nod32)
  • Win32.Lovgate.AE@mm (BitDef7)
  • Win32.Lovgate.BG (VirusBuster)
  • Win32:LovGate-CM [Wrm] (AVAST)
  • Email-Worm.Win32.LovGate.AE (Ikarus)
  • I-Worm/Lovgate (AVG)
  • W32.Lovgate.AO@mm!inf (NAV)
  • NseCheckFile2() returned 0x00010018 (Norman)
  • Win32.LovGate.ax (Rising)
  • PE_LOVGATE.AG (TrendMicro)
  • Win32.Lovgate.BG (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск