Email-Worm.Win32.Lovgate.ah

Jest to robak rozprzestrzeniaj膮cy si臋 przez internet jako za艂膮cznik zainfekowanych wiadomo艣ci e-mail, w sieciach lokalnych oraz przy u偶yciu programu KaZaA. Ma posta膰 pliku PE EXE o rozmiarze 152 063 bajt贸w (kompresja ASPack, rozmiar po rozpakowaniu - oko艂o 250 KB). Szkodnik ma mo偶liwo艣膰 infekowania plik贸w PE EXE.

Instalacja

Po uruchomieniu robak kopiuje si臋 z nast臋puj膮cymi nazwami:

  • %windir%CDPlay.exe
  • %windir%Exploier.exe
  • %system%IEXPLORE.exe
  • %system%iexplorer.exe
  • %system%RAVMOND.exe
  • %system%WinHelp.exe
  • %system%spoolsv.exe
  • %system%Update_OB.exe
  • %system%TkBellExe.exe
  • %system%hxdef.exe
  • %system%Kernel66.dll

Dodatkowo szkodnik tworzy plik cdrom.com w folderach g艂贸wnych wszystkich dost臋pnych dysk贸w.

Robak mo偶e r贸wnie偶 zapisywa膰 w艂asne kopie w plikach ZIP posiadaj膮cych losowe nazwy.

Szkodnik tworzy kilka kluczy w rejestrze systemowym:

  • [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    "WinHelp"="%system%TkBellExe.exe"
    "Hardware Profile"=""="%system%hxdef.exe"
    "Microsoft Associates, Inc."=" "="%system%iexplorer.exe"
    "SystemTra"=""="%swindir%CdPlay.exe"
    "Shell Extension"=""="%system%spollsv.exe"
  • [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
    "COM++ System"="Exploier.exe"

Dodatkowo robak dodaje do pliku win.ini polecenie, dzi臋ki kt贸remu plik RAVMOND.exe uruchamiany jest wraz z ka偶dym startem Windows.

Szkodnik modyfikuje wpisy rejestru, w wyniku czego mo偶e przejmowa膰 kontrol臋 podczas otwierania plik贸w tekstowych:

txtfileshellopencommand
"default"="Update_OB.exe %1"

W celu oznaczenia swojej obecno艣ci w systemie robak tworzy poni偶szy klucz rejestru:

HKLMSoftwareMicrosoftWindowsCurrentVersionMXLIB1]

Rozprzestrzenianie - sieci lokalne

Robak kopiuje si臋 na dost臋pne nap臋dy sieciowe z nast臋puj膮cymi nazwami:

  • autoexec.bat
  • Cain.pif
  • client.exe
  • Documents and Settings.txt.exe
  • findpass.exe
  • i386.exe
  • Internet Explorer.bat
  • Microsoft Office.exe
  • mmc.exe
  • MSDN.ZIP.pif
  • Support Tools.exe
  • Windows Media Player.zip.exe
  • WindowsUpdate.pif
  • winhlp32.exe
  • WinRAR.exe
  • xcopy.exe

Je偶eli wykryty zostanie program KaZaA szkodnik kopiuje si臋 do jego foldera wsp贸艂dzielonego z nazwami:

  • wrar320sc
  • REALONE
  • BlackIcePCPSetup_creak
  • Passware5.3
  • word_pass_creak
  • HEROSOFT
  • orcard_original_creak
  • rainbowcrack-1.1-win
  • W32Dasm
  • setup

Rozszerzenia kopii wybierane s膮 spo艣r贸d nast臋puj膮cych mo偶liwo艣ci: BAT, EXE, PIF, SCR.

Robak podejmuje pr贸by uzyskania dost臋pu do konta administrator贸w korzystaj膮c z nast臋puj膮cej listy hase艂:

!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
0
000000
00000000
007
1
110
111
111111
11111111
12
121212
123
123123
1234
12345
123456
1234567
12345678
123456789
123abc
123asd
2003
2004
2600
321
54321
654321
666666
888888
88888888
a
aaa
abc
abc123
abcd
abcdef
abcdefg
admin
Admin
admin123
administrator
Administrator
alpha
asdf
asdfgh
computer
database
enable
god
godblessyou
guest
Guest
home
Internet
Login
login
love
mypass
mypass123
mypc
mypc123
oracle
owner
pass
passwd
password
Password
pc
pw
pw123
pwd
root
secret
server
sex
sql
super
sybase
temp
temp123
test
test123
win
xp
xxx
yxcv
zxcv

Po udanym zalogowaniu robak kopiuje si臋 z nazw膮 admin$system32NetManager.exe i uruchamia ten plik jako us艂ug臋 Windows Management Network Service Extensions.

Rozprzestrzenianie - wiadomo艣ci e-mail

Robak odpowiada na wszystkie wiadomo艣ci zapisane w skrzynce odbiorczej. Dodatkowo potencjalnych adresy ofiar pobierane s膮 z plik贸w posiadaj膮cych rozszerzenia: WAB, HTM, PL, ADB, TBB, DBX, ASP, PHP, SHT, HTM.

Zainfekowane wiadomo艣ci wygl膮daj膮 nast臋puj膮co:

  • Temat (wybierany spo艣r贸d nast臋puj膮cych mo偶liwo艣ci):
    Message header (chosen at random from the list below)
    Mail  failed.  For further assistance, please contact!
    The  message  sent as  a binary attachment.
    It's the long-awaited film version of the Broadway hit.
    The message contains Unicode characters and has been 
    sent as a binary attachment.
  • Tre艣膰 (wybierana spo艣r贸d nast臋puj膮cych mo偶liwo艣ci):
    If you can keep your head when all about you
    Are losing theirs and blaming it on you;
    If you can trust yourself when all men doubt you,
    But make allowance for their doubting too;
    If you can wait and not be tired by waiting,
    Or, being lied about,don',27h,'t deal in lies,
    Or, being hated, don',27h,'t give way to hating,
    And yet don',27h,'t look too good, nor talk too wise;
    ... ... more  look to the attachment.
  • Nazwa za艂膮cznika (wybierana spo艣r贸d nast臋puj膮cych mo偶liwo艣ci):

    I am For u.doc.exe
    Britney spears nude.exe.txt.exe
    joke.pif
    DSL Modem Uncapper.rar.exe
    Industry Giant II.exe
    StarWars2 - CloneAttack.rm.scr
    dreamweaver MX (crack).exe
    Shakira.zip.exe
    SETUP.EXE
    Macromedia Flash.scr
    How to Crack all gamez.exe
    Me_nude.AVI.pif
    s3msong.MP3.pif
    Deutsch BloodPatch!.exe
    Sex in Office.rm.scr
    the hardcore game-.pif

Informacje dodatkowe

Wirus zamyka procesy, kt贸rych nazwy zawieraj膮 nast臋puj膮ce teksty:

  • Duba
  • Gate
  • KAV
  • kill
  • KV
  • McAfee
  • NAV
  • RavMon.exe
  • Rfw.exe
  • rising
  • SkyNet
  • Symantec
  • Rising Realtime Monitor Service
  • Symantec Antivirus Server
  • Symantec Client

Robak gromadzi informacje o zainfekowanym komputerze i zapisuje je w pliku C:Netlog.txt, kt贸ry wysy艂any jest za po艣rednictwem poczty elektronicznej.

Szkodnik instaluje backdoora na porcie TCP 6000 i oczekuje na zdalne polecenia.

W kodzie robaka zapisany jest tekst:

I-WORM-ffff Running!

Szkodnik skanuje dyski od C: do Z: w poszukiwaniu plik贸w EXE, zmienia ich rozszerzenie na ZMX, po czym tworzy w艂asne kopie z oryginalnymi nazwami przemianowanych plik贸w.