Mellékleteink: HUP | Gamekapocs
Keres

Közepesen veszélyes besorolást kapott a W32/Lovgate.ab@MM féreg

Ady Krisztián, 2004. május 19. 15:28
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Az AVERT, a Network Associates vírusszakértői csoportja közepesen veszélyes kategóriába sorolta a W32/Lovgate.ab@MM férget. A csoport közleménye szerint az új variáns az otthoni és a vállalati felhasználók számára egyaránt közepes veszélyt jelent, az új besorolást az előfordulás gyakoriságának növekedése tette indokolttá.

Az AVERT, a Network Associates vírusszakértői csoportja "közepesen veszélyes" kategóriába sorolta a W32/Lovgate.ab@MM férget. A csoport közleménye szerint az új variáns az otthoni és a vállalati felhasználók számára egyaránt közepes veszélyt jelent, az új besorolást az előfordulás gyakoriságának növekedése tette indokolttá.

A W32/Lovgate.ab@MM vírus kétféle módon terjeszti magát. Az első módszer szerint a fertőzött gépen található összes levélre válaszol a Windows MAPI protokollját használva. A féreg kitörli, majd válaszol a Microsoft Outlook és Outlook Express "beérkezett levelek" mappájában lévő olvasatlan levelekre. A csatolt állomány egy ZIP vagy RAR tömörített fájl is lehet, ami kettős kiterjesztésű fájlokat tartalmaz (a második mindig EXE).

A féreg megpróbál egy DNS kutatást elvégezni, potenciális SMTP szerverekért, amelyeket felhasználhat az üzenetek küldésére. A féreg minden meghajtó gyökerében létrehoz egy AUTORUN.INF fájlt, ami arra szolgál, hogy a COMMAND.EXE fájlt futassa a Windows auto-run tulajdonságával.

Ha a mellékletet megnyitják, a vírus felmásolja magát a rendszerbe a következő neveken (mindegyik mérete 118272 byte):

  • %SysDir%IEXPLORE.EXE
  • %SysDir%KERNEL66.DLL
  • %SysDir%RAVMOND.exe
  • %WinDir%SYSTRA.EXE
  • C:COMMAND.EXE

Az alábbi fájlokat felmásolja ugyanide:

  • %SysDir%MSJDBC11.DLL
  • %SysDir%MSSIGN30.DLL
  • %SysDir%ODBC16.DLL
  • %SysDir%LMMIB20.DLL

A féreg számos másolatát elhelyezi a fertőzött gépen, minden meghajtó gyökérkönyvtárába kerül egy ZIP vagy RAR tömörített fájl. Ez a fájl tartalmazza a féreg másolatát, COM, EXE, PIF vagy SCR kiterjesztéssel. A következő indításkor a vírus az alábbi kulcs segítségével tölti be magát:

  • HKEY_CURRENT_USERSoftwareMicrosoft WindowsNTCurrentVersionWindows "run" = RAVMOND.exe
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun "Program In Windows" = %SysDir%IEXPLORE.EXE
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionrunServices "SystemTra" = %WinDir%SYSTRA.EXE

Az alábbi kulcsokat is létrehozza a hátsóajtó komponens:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun "VFW Encoder/Decoder Settings" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun "Protected Storage" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg

A hátsó ajtó komponens két szolgáltatást is telepít a gépre:

  • _reg
  • Windows Management Protocol v.0 (experimental)

Mindkét szolgáltatás a Rundll32.exe, msjdbc11.dll, ondll_server nevű folyamatokhoz van linkelve. Ezekhez szintén tartozik két regisztrációs kulcs:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices_reg
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
  • Windows Management Protocol v.0 (experimental)

A vírus leállítja az összes futó alkalmazást, ami az alábbi karakterek bármelyikét tartalmazza:

  • rising
  • SkyNet
  • Symantec
  • McAfee
  • Gate
  • Rfw.exe
  • RavMon.exe
  • kill
  • NAV
  • Duba
  • KAV
  • KV

A Lovgate.ab fertőzését követően az e-mail küldése mellett még az alábbi módokon próbál terjedni: a vírus bemásolja magát a Kazaa és Limewire fájlcserélő programok megosztott foldereibe, az alábbi fájlneveket használva:

  • Thank you.doc.exe
  • 3D Flash Animator.rar.bat
  • SWF Browser2.93.txt.exe
  • Download.exe
  • Panda Crack.zip.exe
  • WinRAR V3.2.0 Beta 2.exe
  • Swish2.00.pif
  • Adobe Photoshop7.0 creak.pif
  • You_Life.JPG.pif
  • CloneCD crack.exe
  • WinZip v9.0 Beta Build 5480 crack.exe
  • Real-DRAW PRO v3.10.exe
  • Star Wars Downloader.exe
  • HyperSnap-DX v5.20.01.exe
  • Adobe Photoshop6.0.zip.exe
  • HyperSnap-DX v4.51.01.exe

A vírus megkísérel minden számítógépre bejelentkezni, amelyik a helyi hálózatban található, a saját magába beépített felhasználónév és jelszó-lista segítségével. Amennyiben sikeresen be tudott jelentkezni, felmásolja magát a következőképp:

  • ADMIN$SYSTEM32NETMANAGER.EXE

Ezt követően Windows Management NetWork Service Extensions néven, service-ként lefuttatja a NETMANAGER.EXE fájlt. A W32/Lovgate.ab@MM vírust május 14-én fedezték fel, a 18-án kiadott 4361-es DAT fájl már tartalmazza a vírus felismeréséhez szükséges információkat.

Facebook
Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.