Közepesen veszélyes besorolást kapott a W32/Lovgate.ab@MM féreg
Az AVERT, a Network Associates vírusszakértői csoportja közepesen veszélyes kategóriába sorolta a W32/Lovgate.ab@MM férget. A csoport közleménye szerint az új variáns az otthoni és a vállalati felhasználók számára egyaránt közepes veszélyt jelent, az új besorolást az előfordulás gyakoriságának növekedése tette indokolttá.
A W32/Lovgate.ab@MM vírus kétféle módon terjeszti magát. Az első módszer szerint a fertőzött gépen található összes levélre válaszol a Windows MAPI protokollját használva. A féreg kitörli, majd válaszol a Microsoft Outlook és Outlook Express "beérkezett levelek" mappájában lévő olvasatlan levelekre. A csatolt állomány egy ZIP vagy RAR tömörített fájl is lehet, ami kettős kiterjesztésű fájlokat tartalmaz (a második mindig EXE).
A féreg megpróbál egy DNS kutatást elvégezni, potenciális SMTP szerverekért, amelyeket felhasználhat az üzenetek küldésére. A féreg minden meghajtó gyökerében létrehoz egy AUTORUN.INF fájlt, ami arra szolgál, hogy a COMMAND.EXE fájlt futassa a Windows auto-run tulajdonságával.
Ha a mellékletet megnyitják, a vírus felmásolja magát a rendszerbe a következő neveken (mindegyik mérete 118272 byte):
- %SysDir%IEXPLORE.EXE
- %SysDir%KERNEL66.DLL
- %SysDir%RAVMOND.exe
- %WinDir%SYSTRA.EXE
- C:COMMAND.EXE
Az alábbi fájlokat felmásolja ugyanide:
- %SysDir%MSJDBC11.DLL
- %SysDir%MSSIGN30.DLL
- %SysDir%ODBC16.DLL
- %SysDir%LMMIB20.DLL
A féreg számos másolatát elhelyezi a fertőzött gépen, minden meghajtó gyökérkönyvtárába kerül egy ZIP vagy RAR tömörített fájl. Ez a fájl tartalmazza a féreg másolatát, COM, EXE, PIF vagy SCR kiterjesztéssel. A következő indításkor a vírus az alábbi kulcs segítségével tölti be magát:
- HKEY_CURRENT_USERSoftwareMicrosoft WindowsNTCurrentVersionWindows "run" = RAVMOND.exe
- HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun "Program In Windows" = %SysDir%IEXPLORE.EXE
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionrunServices "SystemTra" = %WinDir%SYSTRA.EXE
Az alábbi kulcsokat is létrehozza a hátsóajtó komponens:
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun "VFW Encoder/Decoder Settings" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun "Protected Storage" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
A hátsó ajtó komponens két szolgáltatást is telepít a gépre:
- _reg
- Windows Management Protocol v.0 (experimental)
Mindkét szolgáltatás a Rundll32.exe, msjdbc11.dll, ondll_server nevű folyamatokhoz van linkelve. Ezekhez szintén tartozik két regisztrációs kulcs:
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices_reg
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
- Windows Management Protocol v.0 (experimental)
A vírus leállítja az összes futó alkalmazást, ami az alábbi karakterek bármelyikét tartalmazza:
- rising
- SkyNet
- Symantec
- McAfee
- Gate
- Rfw.exe
- RavMon.exe
- kill
- NAV
- Duba
- KAV
- KV
A Lovgate.ab fertőzését követően az e-mail küldése mellett még az alábbi módokon próbál terjedni: a vírus bemásolja magát a Kazaa és Limewire fájlcserélő programok megosztott foldereibe, az alábbi fájlneveket használva:
- Thank you.doc.exe
- 3D Flash Animator.rar.bat
- SWF Browser2.93.txt.exe
- Download.exe
- Panda Crack.zip.exe
- WinRAR V3.2.0 Beta 2.exe
- Swish2.00.pif
- Adobe Photoshop7.0 creak.pif
- You_Life.JPG.pif
- CloneCD crack.exe
- WinZip v9.0 Beta Build 5480 crack.exe
- Real-DRAW PRO v3.10.exe
- Star Wars Downloader.exe
- HyperSnap-DX v5.20.01.exe
- Adobe Photoshop6.0.zip.exe
- HyperSnap-DX v4.51.01.exe
A vírus megkísérel minden számítógépre bejelentkezni, amelyik a helyi hálózatban található, a saját magába beépített felhasználónév és jelszó-lista segítségével. Amennyiben sikeresen be tudott jelentkezni, felmásolja magát a következőképp:
- ADMIN$SYSTEM32NETMANAGER.EXE
Ezt követően Windows Management NetWork Service Extensions néven, service-ként lefuttatja a NETMANAGER.EXE fájlt. A W32/Lovgate.ab@MM vírust május 14-én fedezték fel, a 18-án kiadott 4361-es DAT fájl már tartalmazza a vírus felismeréséhez szükséges információkat.