Email-Worm.Win32.LovGate.ad

Технические детали

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по файлообменным сетям и открытым сетевым ресурсам.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Вирус также распространяется, используя уязвимость в Microsoft Windows (подробное описание приведено в Microsoft Security Bulletin MS03-026).

Червь является приложением Windows (PE EXE-файл), имеет размер около 143КБ, упакован при помощи ASPack. Размер распакованного файла около 255КБ.

Червь содержит в себе функцию удаленного администрирования.

Инсталляция

После запуска червь копирует себя с различными именами в корень диска С:, а также в системный и корневой каталог Windows:

C:\COMMAND.EXE
%System%\hxdef.exe
%System%\IEXPLORE.EXE
%System%\kernel66.dll
%System%\RAVMOND.exe
%System%\realsched.exe
%System%\vptray.exe
%Windir%\SYSTRA.EXE

В системном каталоге Windows червь создает свои бэкдор-компоненты (Антивирус Касперского детектирует их как I-Worm.Lovgate.w):

%System%\LMMIB20.DLL
%System%\msjdbc11.dll 
%System%\MSSIGN30.DLL 
%System%\ODBC16.dll

Также червь создает файл с именем "AUTORUN.INF" в корневом каталоге всех доступных дисков.

Также червь создает и запускает копии своих предыдущих модификаций I-Worm.Lovgate.f и I-Worm.Lovgate.x:

%System%\NetMeeting.exe
%System%\spollsv.exe
%Windir%\suchost.exe

I-Worm.Lovgate.ad регистрирует несколько своих копий в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "Hardware Profile"="%system%\hxdef.exe"
 "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
 "Program In Windows"="%system%\IEXPLORE.EXE"
 "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
 "Shell Extension"="%system%\spollsv.exe"
 "VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
 "WinHelp"="%system%\realsched.exe"

Червь также создает следующие ключи реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\runServices]
 "COM++ System"="suchost.exe"
 "SystemTra"="%Windir%\SysTra.EXE"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\]
 "run"="RAVMOND.exe"

Изменяет ключ системного реестра, таким образом, чтобы при открытии текстовых файлов червь получал управление:

[HKCR\txtfile\shell\open\command]
 "default"="Update_OB.exe %1"

Распространение через email

Червь "отвечает" на непрочитанные письма, находящиеся в папке "Входящие" Microsoft Outlook или Outlook Express.

Также он ищет адреса для рассылки себя через email в файлах с расширениями:

adb
asp
dbx
htm
php
pl
sht
tbb
wab

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

При автоматическом "ответе" на входящие письма зараженное письмо имеет следующие характеристики:

Тема письма:

Re: <оригинальная тема>

Текст письма:

<оригинальный текст письма>

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.

> Get your FREE YAHOO.COM Mail now! <

Имя файла-вложения:

Выбирается произвольным образом из списка:

Britney spears nude.exe.txt.exe
Deutsch BloodPatch!.exe
dreamweaver MX (crack).exe
DSL Modem Uncapper.rar.exe
How to Crack all gamez.exe
I am For u.doc.exe
Industry Giant II.exe
joke.pif
Macromedia Flash.scr
Me_nude.AVI.pif
s3msong.MP3.pif
SETUP.EXE
Sex in Office.rm.scr
Shakira.zip.exe
StarWars2 - CloneAttack.rm.scr
the hardcore game-.pif

В случае, когда червь сам рассылает себя, используя SMTP-серверы, зараженное письмо имеет следующие характеристики:

Тема письма:

Выбирается произвольным образом из списка:

Error
hello
hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status
test

Текст письма:

Выбирается произвольным образом из списка:

Mail failed. For further assistance, please contact!
The message contains Unicode characters and has been sent as a binary attachment.
It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.

Имя вложенного файла:

Создаётся случайным образом и имеет расширения:

com
exe
pif
RAR
scr

Размножение через локальные и файлообменные сети

Вирус также распространяется, используя уязвимость в Microsoft Windows (подробное описание приведено в Microsoft Security Bulletin MS03-026).

Червь пытается копировать себя на все доступные компьютеры, найденные в локальной сети, подобирая пароли к найденным ресурсам для эккаунта "Administrator".

При переборе паролей используется следующая таблица:

0
0
7
110
111
123
321
1234
2003
2004
2600
12345
54321
111111
121212
123123
123456
654321
666666
888888
1234567
11111111
12345678
88888888
123456789
!@#$
!@#$%
!@#$%^
!@#$%^&

!@#$%^&*
123abc
123asd
aaa
abc
abc123
abcd
abcdef
abcdefg
Admin
admin
admin123
Administrator
administrator
alpha
asdf
asdfgh
computer
database
enable
god
godblessyou
Guest
guest
home
Internet
login
Login
love

mypass
mypass123
mypc
mypc123
oracle
owner
pass
passwd
Password
password
pw123
pwd
root
secret
server
sex
sql
super
sybase
temp
temp123
test
test123
win
xxx
yxcv
zxcv

При удачном соединении копирует себя в "\admin$\system32\NetManager.exe" и запускает данный файл в качестве сервиса "Windows Management NetWork Service Extensions".

Делает папку "с:\windows\Media" доступной из локальной сети под именем "\\Media".

Червь копирует себя на все доступные сетевые диски под именами:

autoexec.bat
Cain.pif
client.exe
Documents and Settings.txt.exe
findpass.exe
i386.exe
Internet Explorer.bat
Microsoft Office.exe
mmc.exe
MSDN.ZIP.pif
Support Tools.exe
Windows Media Player.zip.exe
WindowsUpdate.pif
winhlp32.exe
WinRAR.exe
xcopy.exe

Удаленное администрирование

Червь открывает на зараженной машине произвольный TCP порт для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе.

Действие

Завершает процессы, содержащие в именах строки:

Duba
Gate
KAV
kill
KV
McAfee
NAV
RavMon.exe
Rfw.exe
rising
SkyNet
Symantec

Червь ищет на всех доступных дисках от C: до Z: файлы с расширением "exe" и копирует себя вместо оригинальных файлов с их оригинальными именами (принцип работы обычного companion-вируса).