Email-Worm.Win32.LovGate.a

Технические детали

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам, и по локальной сети. Также устанавливает в систему программу-шпиона. Известно несколько версий червя, которые отличиются друг от друга незначительными деталями.

Червь является приложением Windows (PE EXE-файл), написан на Microsoft Visual C++, упакован утилитой AsPack, имеет размер:

"Lovgate.a": около 85K (размер распакованного файла - около 200K)
"Lovgate.b": около 77K (размер распакованного файла - около 164K)
"Lovgate.c": около 79K (размер распакованного файла - около 165K)

В письмах червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). При заражении сети червь просто копирует себя в каталоги сети, а также пытается автоматически запустить свою копию (под WinNT).

При запуске зараженного файла червь инсталлирует себя в систему и запускает процедуры своего распространения.

Инсталляция

При инсталляции червь копирует себя с различными именами в системный каталог Windows и регистрирует эти файл в ключе авто-запуска системного реестра (под WinNT) и/или в секции "run" в файле "win.ini" в каталоге Windows (под Win9x).

Имя копии червя:

 rpcsrv.exe, syshelp.exe, winrpc.exe, WinGate.exe, WinRpcsrv.exe

Ключи реестра:

  HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows

    Run = rpcsrv.exe

  HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    syshelp = %SystemDir%\syshelp.exe

  HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    WinGate initialize = %SystemDir%\WinGate.exe -remoteshell

    Module Call initialize = RUNDLL32.EXE reg.dll ondll_reg

  HKCR\txtfile\shell\open\command

    winrpc.exe %1

Рассылка писем

Зараженные письма рассылаются двумя способами.

1. Червь ищет "*.ht*"-файлы в текущем каталоге, в каталоге Windows и в каталоге "My Documents", выделяет из них строки, являющиеся адресами электронной почты и рассылает по этим адресами зараженные письма. При отсылке писем червь использует прямое подключение к SMTP-серверу (указанному в настройках системы или подключается к серверу smtp.163.com).

Возможны следующие варианты Заголовка писем, Текста и Имени вложения:

 Заголовок:

 Текст:

 Вложение:

  Cracks!

    Check our list and mail your requests!

    CrkList.exe

  The patch

    I think all will work fine.

    Patch.exe

  Last Update

    This is the last cumulative update.

    LUPdate.exe

  Do not release

    This is the pack ;)

    Pack.exe

  Beta

    Send reply if you want to be official beta tester.

    _SetupB.exe

  Help

    I'm going crazy... please try to find the bug!

    Source.exe

  Evaluation copy

    Test it 30 days for free.

    Setup.exe

  Pr0n!

    Adult content!!! Use with parental advisory.

    Sex.exe

  Roms

    Test this ROM! IT ROCKS!.

    Roms.exe

  Documents

    Send me your comments...

    Docs.exe
  

2. Червь использует функции Windows MAPI и "отвечает" на письма, обнаруженные в почтовом ящике.

"Ответ" червя следующий:

 Заголовок:   Re: [заголовок письма, на которое отсылается ответ]

 Текст:

   [имя пользователя] wrote:

   ====

   > [текст письма ]

   ====

   [почтовый домен пользователя] account auto-reply:

  ' I'll try to reply as soon as possible.

  Take a look to the attachment and send me your opinion! '

        > Get your FREE [почтовый домен пользователя] account now! 

Например,

Имя вложения выбирается случайно из вариантов:

  pics.exe          SETUP.EXE     
  images.exe        Card.EXE      
  joke.exe          billgt.exe    
  PsPGame.exe       midsong.exe   
  news_doc.exe      s3msong.exe   
  hamster.exe       docs.exe      
  tamagotxi.exe     humor.exe     
  searchURL.exe     fun.exe       

Заражение локальной сети

Червь перебирает сетевые ресурсы (каталоги, открытые на полный доступ) и копирует туда себя с именами, случайно выбираемыми из списка:

  pics.exe             SETUP.EXE
  images.exe           Card.EXE
  joke.exe             billgt.exe
  PsPGame.exe          midsong.exe
  news_doc.exe         s3msong.exe
  hamster.exe          docs.exe
  tamagotxi.exe        humor.exe
  searchURL.exe        fun.exe

Если ресурс закрыт паролем, то червь пытается также соединиться с ресурсом, перебирая пароли:

 Login:    "guest", "Administrator"
 
Password: "123", "321", "123456", "654321", "administrator", "admin", "111111", "666666", "888888", "abc", "abcdef", "abcdefg", "12345678", "abc123"

Если соединение прошло успешно, червь копирует себя на удаленный компьютер с именем "stg.exe" и запускается на удаленном компьютере как сервис.

Бекдор-процедура

Червь запускает бекдор-процедуру, используя метод IPC (Interprocess Communication) - червь открывает сетевое соединение (pipe) и запускает на зараженной машине командный процессор CMD.EXE (под WinNT) или COMMAND.COM (под Win9x). В результате удаленный "хозяин" червя получает доступ к ресурсам зараженного компьютера.

Бекдор запускется тремя способами:

• из собственного процесса червя
• внедряя "патч" в адресное пространство процесса "LSASS.EXE" (под WinNT)
• создаёт DLL-файлы "ily.dll", "Task.dll", "reg.dll" в системном каталоге Windows и активизирует их.

Данные три метода практически полностью дублируют бекдор-функционал червя.

Прочее

При отсылке писем червь создаёт временный файл CH0016.TMP во временном каталоге Windows.

Червь посылает письмо-нотификацию "хозяину", в котором указаны имя пользователя, имя компьютера и сетевой адрес зараженного компьютера.

Червь содержит строку-"копирайт":

  My I-WORM-and-IPC-20168 running!