Email-Worm.Win32.Lovgate.ah
Po uruchomieniu robak kopiuje si臋 z nast臋puj膮cymi nazwami:
- %windir%CDPlay.exe
- %windir%Exploier.exe
- %system%IEXPLORE.exe
- %system%iexplorer.exe
- %system%RAVMOND.exe
- %system%WinHelp.exe
- %system%spoolsv.exe
- %system%Update_OB.exe
- %system%TkBellExe.exe
- %system%hxdef.exe
- %system%Kernel66.dll
Dodatkowo szkodnik tworzy plik cdrom.com w folderach g艂贸wnych wszystkich dost臋pnych dysk贸w.
Robak mo偶e r贸wnie偶 zapisywa膰 w艂asne kopie w plikach ZIP posiadaj膮cych losowe nazwy.
Szkodnik tworzy kilka kluczy w rejestrze systemowym:
"WinHelp"="%system%TkBellExe.exe"
"Hardware Profile"=""="%system%hxdef.exe"
"Microsoft Associates, Inc."=" "="%system%iexplorer.exe"
"SystemTra"=""="%swindir%CdPlay.exe"
"Shell Extension"=""="%system%spollsv.exe"
"COM++ System"="Exploier.exe"
Dodatkowo robak dodaje do pliku win.ini polecenie, dzi臋ki kt贸remu plik RAVMOND.exe uruchamiany jest wraz z ka偶dym startem Windows.
Szkodnik modyfikuje wpisy rejestru, w wyniku czego mo偶e przejmowa膰 kontrol臋 podczas otwierania plik贸w tekstowych:
"default"="Update_OB.exe %1"
W celu oznaczenia swojej obecno艣ci w systemie robak tworzy poni偶szy klucz rejestru:
Robak kopiuje si臋 na dost臋pne nap臋dy sieciowe z nast臋puj膮cymi nazwami:
- autoexec.bat
- Cain.pif
- client.exe
- Documents and Settings.txt.exe
- findpass.exe
- i386.exe
- Internet Explorer.bat
- Microsoft Office.exe
- mmc.exe
- MSDN.ZIP.pif
- Support Tools.exe
- Windows Media Player.zip.exe
- WindowsUpdate.pif
- winhlp32.exe
- WinRAR.exe
- xcopy.exe
Je偶eli wykryty zostanie program KaZaA szkodnik kopiuje si臋 do jego foldera wsp贸艂dzielonego z nazwami:
- wrar320sc
- REALONE
- BlackIcePCPSetup_creak
- Passware5.3
- word_pass_creak
- HEROSOFT
- orcard_original_creak
- rainbowcrack-1.1-win
- W32Dasm
- setup
Rozszerzenia kopii wybierane s膮 spo艣r贸d nast臋puj膮cych mo偶liwo艣ci: BAT, EXE, PIF, SCR.
Robak podejmuje pr贸by uzyskania dost臋pu do konta administrator贸w korzystaj膮c z nast臋puj膮cej listy hase艂:
!@#$ !@#$% !@#$%^ !@#$%^& !@#$%^&* 0 000000 00000000 007 1 110 111 111111 11111111 12 121212 123 123123 1234 12345 123456 1234567 12345678 123456789 123abc 123asd 2003 2004 2600 321 54321 654321 666666 888888 88888888 a aaa abc abc123 abcd abcdef abcdefg admin Admin admin123 administrator Administrator alpha asdf asdfgh computer database enable god godblessyou guest Guest home Internet Login login love mypass mypass123 mypc mypc123 oracle owner pass passwd password Password pc pw pw123 pwd root secret server sex sql super sybase temp temp123 test test123 win xp xxx yxcv zxcv
Po udanym zalogowaniu robak kopiuje si臋 z nazw膮 admin$system32NetManager.exe i uruchamia ten plik jako us艂ug臋 Windows Management Network Service Extensions.
Robak odpowiada na wszystkie wiadomo艣ci zapisane w skrzynce odbiorczej. Dodatkowo potencjalnych adresy ofiar pobierane s膮 z plik贸w posiadaj膮cych rozszerzenia: WAB, HTM, PL, ADB, TBB, DBX, ASP, PHP, SHT, HTM.
Zainfekowane wiadomo艣ci wygl膮daj膮 nast臋puj膮co:
- Temat (wybierany spo艣r贸d nast臋puj膮cych mo偶liwo艣ci):
Message header (chosen at random from the list below) Mail failed. For further assistance, please contact! The message sent as a binary attachment. It's the long-awaited film version of the Broadway hit. The message contains Unicode characters and has been sent as a binary attachment.
- Tre艣膰 (wybierana spo艣r贸d nast臋puj膮cych mo偶liwo艣ci):
If you can keep your head when all about you Are losing theirs and blaming it on you; If you can trust yourself when all men doubt you, But make allowance for their doubting too; If you can wait and not be tired by waiting, Or, being lied about,don',27h,'t deal in lies, Or, being hated, don',27h,'t give way to hating, And yet don',27h,'t look too good, nor talk too wise; ... ... more look to the attachment.
- Nazwa za艂膮cznika (wybierana spo艣r贸d nast臋puj膮cych mo偶liwo艣ci):
I am For u.doc.exe
Britney spears nude.exe.txt.exe
joke.pif
DSL Modem Uncapper.rar.exe
Industry Giant II.exe
StarWars2 - CloneAttack.rm.scr
dreamweaver MX (crack).exe
Shakira.zip.exe
SETUP.EXE
Macromedia Flash.scr
How to Crack all gamez.exe
Me_nude.AVI.pif
s3msong.MP3.pif
Deutsch BloodPatch!.exe
Sex in Office.rm.scr
the hardcore game-.pif
Wirus zamyka procesy, kt贸rych nazwy zawieraj膮 nast臋puj膮ce teksty:
- Duba
- Gate
- KAV
- kill
- KV
- McAfee
- NAV
- RavMon.exe
- Rfw.exe
- rising
- SkyNet
- Symantec
- Rising Realtime Monitor Service
- Symantec Antivirus Server
- Symantec Client
Robak gromadzi informacje o zainfekowanym komputerze i zapisuje je w pliku C:Netlog.txt, kt贸ry wysy艂any jest za po艣rednictwem poczty elektronicznej.
Szkodnik instaluje backdoora na porcie TCP 6000 i oczekuje na zdalne polecenia.
W kodzie robaka zapisany jest tekst:
I-WORM-ffff Running!
Szkodnik skanuje dyski od C: do Z: w poszukiwaniu plik贸w EXE, zmienia ich rozszerzenie na ZMX, po czym tworzy w艂asne kopie z oryginalnymi nazwami przemianowanych plik贸w.