Email-Worm.Win32.LovGate.ah

Технические детали

Интернет-червь, распространяющийся в качестве вложений в зараженные электронные письма. Написан на MFC.

Размер файла червя - 152064 байт. Упакован при помощи ASPack. Размер распакованного файла - около 250 КБ.

Червь обладает функцией заражения исполняемых файлов формата PE.

Инсталляция

После запуска червь копирует себя с различными именами в системный и корневой каталог Windows:

%system%\hxdef.exe
%system%\IEXPLORE.exe
%system%\iexplorer.exe
%system%\Kernel66.dll
%system%\RAVMOND.exe
%system%\spoolsv.exe
%system%\TkBellExe.exe
%system%\Update_OB.exe
%system%\WinHelp.exe
%windir%\CDPlay.exe
%windir%\Exploier.exe

Также создает файл с именем "cdrom.com" в корневом каталоге всех доступных дисков.

Червь может создавать несколько своих копий в формате ZIP, в корневых каталогах всех доступных дисков, с произвольными именами.

Регистрирует несколько своих копий в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "WinHelp"="%system%\TkBellExe.exe"
 "Hardware Profile"="%system%\hxdef.exe"
 "Microsoft  Associates, Inc."="%system%\iexplorer.exe"
 "SystemTra"="%swindir%\CdPlay.exe"
 "Shell Extension"="%system%\spollsv.exe"

А также в:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
 "COM++ System"="Exploier.exe"

В "win.ini" прописывает строку для автозапуска файла "RAVMOND.exe".

Изменяет ключ системного реестра, таким образом, чтобы при открытии текстовых файлов червь получал управление:

[txtfile\shell\open\command]
 "default"="Update_OB.exe %1"

Создает дополнительный ключ в реестре, для определения своего присутствия в системе:

[HKLM\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1]

Размножение через электронную почту

Червь "отвечает" на письма, находящие в папке "Входящие". Также он ищет адреса для рассылки себя через email в файлах с расширениями:

adb
asp
dbx
htm
htm
php
pl
sht
tbb
wab

Рассылаемые червем зараженные письма содержат один из вариантов текста:

It's the long-awaited film version of the Broadway hit.

Mail failed. For further assistance, please contact!

The message sent as a binary attachment.

The message contains Unicode characters and has been sent as a binary attachment.

В случае ответа на письма из папки Inbox, зараженные письма содержат текст:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don',27h,'t deal in lies,
Or, being hated, don',27h,'t give way to hating,
And yet don',27h,'t look too good, nor talk too wise;
... ... more  look to the attachment.

Имя прикрепляемого файла выбирается случайным образом из списка:

Britney spears nude.exe.txt.exe
Deutsch BloodPatch!.exe
dreamweaver MX (crack).exe
DSL Modem Uncapper.rar.exe
How to Crack all gamez.exe
I am For u.doc.exe
Industry Giant II.exe
joke.pif
Macromedia Flash.scr
Me_nude.AVI.pif
s3msong.MP3.pif
SETUP.EXE
Sex in Office.rm.scr
Shakira.zip.exe
StarWars2 - CloneAttack.rm.scr
the hardcore game-.pif

Размножение через локальные и файлообменные сети

Делает папку "с:\windows\Media" доступной для доступа из локальной сети под именем "\\Media".

Копирует себя на все доступные сетевые диски под именами:

autoexec.bat
Cain.pif
client.exe
Documents and Settings.txt.exe
findpass.exe
i386.exe
Internet Explorer.bat
Microsoft Office.exe
mmc.exe
MSDN.ZIP.pif
Support Tools.exe
Windows Media Player.zip.exe
WindowsUpdate.pif
winhlp32.exe
WinRAR.exe
xcopy.exe

В случае, если на компьютере обнаружен P2P-клиент Kazaa, червь копирует себя в каталог обмена файлами под именами из приведенного ниже списка или под произвольным именем.

BlackIcePCPSetup_creak
HEROSOFT
orcard_original_creak
Passware5.3
rainbowcrack-1.1-win
REALONE
setup
W32Dasm
word_pass_creak
wrar320sc

Расширение данных файлов выбираются из списка:

BAT
EXE
PIF
SCR

Червь пытается копировать себя на все доступные компьютеры, найденные в локальной сети, пробуя подобрать пароли к найденным ресурсам для эккаунта "Administrator". При переборе паролей используется следующая таблица:

!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
0
000000
00000000
007
1
110
111
111111
11111111
12
121212
123
123123
1234
12345
123456
1234567
12345678
123456789
123abc
123asd
2003
2004
2600
321
54321

654321
666666
888888
88888888
a
aaa
abc
abc123
abcd
abcdef
abcdefg
admin
Admin
admin123
administrator
Administrator
alpha
asdf
asdfgh
computer
database
enable
god
godblessyou
guest
Guest
home
Internet
Login
login
love

mypass
mypass123
mypc
mypc123
oracle
owner
pass
passwd
password
Password
pc
pw
pw123
pwd
root
secret
server
sex
sql
super
sybase
temp
temp123
test
test123
win
xp
xxx
yxcv
zxcv

При удачном соединении копирует себя в "\admin$\system32\NetManager.exe" и запускает данный файл в качестве сервиса "Windows Management NetWork Service Extensions".

Прочее

Завершает процессы, содержащие в именах строки:

Duba
Gate
KAV
kill
KV
McAfee
NAV
RavMon.exe
Rfw.exe
rising
SkyNet
Symantec

А также:

Rising Realtime Monitor Service
Symantec Antivirus Server
Symantec Client

Собирает информацию о зараженном компьютере в файл "c:\Netlog.txt" и отправляет его по электронной почту автору червя.

Устанавливает "бэкдор" на порт TCP 6000 для приема команд.

Содержит в себе строку:

I-WORM-ffff Running!

Червь ищет на всех доступных дисках от C: до Z: файлы с расширением EXE и переименовывает их в ZMX, устанавливает для данных файлов атрибуты "скрытый", "системный" и копирует себя вместо оригинальных файлов с их оригинальными именами (принцип работы обычного Companion-вируса).