Email-Worm.Win32.LovGate.g

Технические детали

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена и открытым сетевым ресурсам.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 127 КБ, упакован при помощи ASPack. Размер распакованного файла — около 254 KБ. Написан на языке C++.

Червь содержит в себе бэкдор-функцию.

Инсталляция

При инсталляции червь копирует себя с различными именами в системный каталог Windows:

iexplore.exe
Kernel66.dll
Ravmond.exe
WinDriver.exe
winexe.exe
WinGate.exe
Winhelp.exe
Winrpc.exe

В системном каталоге Windows червь создает свои бэкдор-компоненты:

%System%\ily668.dll
%System%\Reg678.dll
%System%\Task688.dll
%System%\Win32vxd.dll

Lovgate.g регистрирует несколько своих копий в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "Program in Windows"="%system%\iexplore.exe
 "Remote Procedure Call Locator"="rundll32.exe reg678.dll ondll_reg"
 "WinGate initialize"="%system%\WinGate.exe -remoteshell"
 "winhelp"="%system%\winhelp.exe"

Также червь создает следующий ключ реестра:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\]
 "run"="RAVMOND.exe"

Червь изменяет ключи системного реестра, таким образом, чтобы при открытии текстовых (*.txt) и исполняемых (*.exe) файлов червь получал управление:

[HKCR\txtfile\shell\open\command]
 "default"="winrpc.exe %1"

[HKCR\exefile\shell\open\command]
 "default"="winexe.exe %1"

Червь создает уникальный идентификатор «I---WORM---IPC---20168» для определения своего присутствия в системе.

Распространение через email

Червь «отвечает» на входящие письма, находящиеся в папке «Входящие» Microsoft Outlook или Outlook Express.

Также он ищет адреса для рассылки себя через email в файлах с расширениям html.

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

При автоматическом «ответе» на входящие письма зараженное письмо имеет следующие характеристики:

Тема письма:

Re: <оригинальная тема>

Текст письма:

<оригинальный текст письма>

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.

Имя файла-вложения:

Выбирается из списка:

Britney spears nude.exe.txt.exe
Deutsch BloodPatch!.exe
dreamweaver MX (crack).exe
DSL Modem Uncapper.rar.exe
How to Crack all gamez.exe
I am For u.doc.exe
Industry Giant II.exe
joke.pif
Macromedia Flash.scr
Me_nude.AVI.pif
s3msong.MP3.pif
SETUP.EXE
Sex in Office.rm.scr
Shakira.zip.exe
StarWars2 - CloneAttack.rm.scr
the hardcore game-.pif

В случае, когда червь сам рассылает себя, используя SMTP-сервера, зараженное письмо имеет следующие характеристики:

Тема письма:

Выбирается из списка:

Attached one Gift for u..
for you
Great
Help
Hi Dear
Last Update
Let's Laugh
Reply to this!
See the attachement

Текст письма:

Выбирается из списка:

• Adult content!!! Use with parental advisory.
• Copy of your message, including all the headers is attached.
• For further assistance, please contact!
• It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
• Patrick Ewing will give Knick fans something to cheer about Friday night.
• Send me your comments...
• Send reply if you want to be official beta tester.
• This is the last cumulative update.
• This message was created automatically by mail delivery software (Exim).
• Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)

Имя файла-вложения:

Выбирается из списка:

About_Me.txt.pif
Doom3 Preview!!!.exe
driver.exe
enjoy.exe
images.pif
Interesting.exe
Pics.ZIP.scr
README.TXT.pif
Source.exe
YOU_are_FAT!.TXT.pif

Размножение через локальные и файлообменные сети

Червь копирует себя на все доступные компьютеры, найденные в локальной сети, пытаясь подобрать пароли к найденным ресурсам для аккаунта «Administrator». При переборе паролей использует следующую таблицу:

!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
000000
00000000
007
110
111
111111
11111111
121212
123
123123
1234
12345
123456
1234567
12345678
123456789
123abc
123asd
2002
2003
2600
321
54321

654321
666666
888888
88888888
aaa
abc
abc123
abcd
abcdef
abcdefg
Admin
admin
admin123
administrator
alpha
asdf
asdfgh
computer
database
enable
god
godblessyou
guest
home
Internet
login
Login
love

mypass
mypass123
mypc
mypc123
oracle
owner
pass
passwd
Password
password
pw123
pwd
root
secret
server
sex
sql
super
sybase
temp
temp123
test
test123
win
xxx
yxcv
zxcv

При удачном соединении копирует себя в \admin$\system32\Net_Services.exe и запускает данный файл в качестве сервиса Windows NetWork FireWall Services.

Червь копирует себя на все доступные сетевые диски под именами:

100 free essays school.pif
Age of empires 2 crack.exe
AN-YOU-SUCK-IT.txt.pif
Are you looking for Love.doc.exe
autoexec.bat
CloneCD + crack.exe
How To Hack Websites.exe
Mafia Trainer!!!.exe
MoviezChannelsInstaler.exe
MSN Password Hacker and Stealer.exe
Panda Titanium Crack.zip.exe
Sex_For_You_Life.JPG.pif
SIMS FullDownloader.zip.exe
Star Wars II Movie Full Downloader.exe
The world of lovers.txt.exe
Winrar + crack.exe

Также червь делает папку %windir%\temp открытой для доступа из локальной сети под именем \\GAME и помещает туда свою копию с произвольным именем.

Удаленное администрирование

Червь открывает на зараженной машине произвольный TCP порт для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе.

Действие

Червь заражает exe-файлы, найденные на инфицированном компьютере. Червь ищет файлы-жертвы на всех доступных дисках компьютера.

Червь отправляет письмо-нотификацию злоумышленнику, в котором указаны имя пользователя, имя компьютера и сетевой адрес зараженного компьютера.

Также червь завершает процессы, содержащие в именах строки:

Duba
Gate
KAV
kill
KV
McAfee
NAV
RavMon.exe
Rfw.exe
rising
SkyNet
Symantec