Email-Worm.Win32.LovGate.ae

Email-Worm.Win32.LovGate.ae («Лаборатория Касперского») также известен как: W32/Lovgate.af@MM (McAfee), W32.Lovgate.X@mm (Symantec), Win32.HLLM.Lovgate.13 (Doctor Web), W32/Lovgate-AD (Sophos), Win32/Lovgate.AE@mm (RAV), WORM_LOVGATE.AE (Trend Micro), Win32.Lovgate.AE@mm (SOFTWIN), W32/Lovgate.AL.worm (Panda), Win32/Lovgate.AM (Eset)

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена и открытым сетевым ресурсам. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Также вирус распространяется, используя уязвимость в Microsoft Windows (подробное описание).

Червь является приложением Windows (PE EXE-файл), имеет размер около 152КБ, упакован при помощи ASPack. Размер распакованного файла — около 262KБ.

Червь содержит в себе бэкдор-функцию.

Инсталляция

После запуска червь копирует себя с различными именами в корень диска С:, а также в системный и корневой каталоги Windows:

  
  C:\COMMAND.EXE
  %System%\hxdef.exe
  %System%\IEXPLORE.EXE
  %System%\kernel66.dll
  %System%\RAVMOND.exe
  %System%\TkBellExe.exe
  %System%\Update_OB.exe
  %Windir%\SYSTRA.EXE 

В системном каталоге Windows червь создает свои бэкдор-компоненты (Антивирус Касперского детектирует их как Email-Worm.Win32.LovGate.w):

  
  %System%\LMMIB20.DLL
  %System%\msjdbc11.dll
  %System%\MSSIGN30.DLL
  %System%\ODBC16.dll
  

Червь создает файл с именем AUTORUN.INF в корневом каталоге диска С:. Данный файл содержит следующие строки:

  
  [AUTORUN]
  Open="c:\COMMAND.EXE" /StartExplorer  

Червь создает и запускает копии своей предыдущей модификации Email-Worm.Win32.LovGate.x:

  
  %System%\NetMeeting.exe
  %System%\spollsv.exe 

Червь создает следующий файл в папке Windows:

  
  %Windir%\svchost.exe 

Email-Worm.Win32.Lovgate.ae регистрирует несколько своих копий в ключе автозапуска системного реестра:

  
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run]
   "Hardware Profile"="%system%\
  hxdef.exe"
   "Microsoft NetMeeting Associates, Inc.
  "="NetMeeting.exe"
   "Program In Windows"="%system%\
  IEXPLORE.EXE"
   "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   "Shell Extension"="
  %system%\spollsv.exe"
   "VFW Encoder/Decoder Settings"="
  RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
   "WinHelp"="%system%\TkBellExe.exe"  

Также червь создает следующие ключи реестра:

  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\runServices]
   "COM++ System"="svchost.exe"
   "SystemTra"="%Windir%\SysTra.EXE"
  
  [HKCU\Software\Microsoft\Windows NT\
  CurrentVersion\Windows\]
   "run"="RAVMOND.exe" 

Изменяет ключ системного реестра таким образом, чтобы при открытии текстовых файлов червь получал управление:

  [HKCR\txtfile\shell\open\command]
   "default"="Update_OB.exe %1"

Распространение через email

Червь "отвечает" на входящие письма, находящиеся в папке "Входящие" Microsoft Outlook или Outlook Express. Также червь ищет адреса для рассылки себя через email в файлах с расширениями:

  
      * adb
      * asp
      * dbx
      * htm
      * php 
  
  	
  
      * pl
      * sht
      * tbb
      * wab 

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

При автоматическом "ответе" на входящие письма зараженное письмо имеет следующие характеристики:

Тема письма:

* Re: <тема изначального письма>

Текст письма:

* <текст изначального письма>

If you can keep your head when all about you Are losing theirs and blaming it on you; If you can trust yourself when all men doubt you, But make allowance for their doubting too; If you can wait and not be tired by waiting, Or, being lied about,don't deal in lies, Or, being hated, don't give way to hating, And yet don't look too good, nor talk too wise; ... ... more look to the attachment.

> Get your FREE YAHOO.COM Mail now! <

Имя файла-вложения:

Выбирается из списка:

  
      * Britney spears nude.exe.txt.exe
      * Deutsch BloodPatch!.exe
      * dreamweaver MX (crack).exe
      * DSL Modem Uncapper.rar.exe
      * How to Crack all gamez.exe
      * I am For u.doc.exe
      * Industry Giant II.exe
      * joke.pif
      * Macromedia Flash.scr
      * Me_nude.AVI.pif
      * s3msong.MP3.pif
      * SETUP.EXE
      * Sex in Office.rm.scr
      * Shakira.zip.exe
      * StarWars2 - CloneAttack.rm.scr
      * the hardcore game-.pif 
  

В случае, когда червь сам рассылает себя, используя SMTP-сервера, зараженное письмо имеет следующие характеристики:

Тема письма:

Выбирается из списка:

  
      * hello
      * hi
      * Mail Delivery System
      * Mail Transaction Failed 
  

Текст письма:

Выбирается из списка:

* It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.

* Mail failed. For further assistance, please contact!

* The message contains Unicode characters and has been sent as a binary attachment.

Имя прикрепляемого файла:

Создается случайным образом и может иметь следующие расширения:

  
      * com
      * exe
      * pif
      * RAR
      * scr
      * ZIP 

Размножение через локальные и файлообменные сети

Email-Worm.Win32.Lovgate.ae распространяется, используя уязвимость в Microsoft Windows (подробное описание). Червь запускает свой код на удаленных компьютерах.

Червь копирует себя на все доступные компьютеры, найденные в локальной сети, пытаясь подобрать пароли к найденным ресурсам для аккаунта "Administrator". При переборе паролей используется следующая таблица:

  
      * 0
      * 0
      * 7
      * 110
      * 111
      * 123
      * 321
      * 1234
      * 2003
      * 2004
      * 2600
      * 12345
      * 54321
      * 111111
      * 121212
      * 123123
      * 123456
      * 654321
      * 666666
      * 888888
      * 1234567
      * 11111111
      * 12345678
      * 88888888
      * 123456789
      * !@#$
      * !@#$%
      * !@#$%^
      * !@#$%^&
      * !@#$%^&*
      * 123abc
      * 123asd
      * aaa
      * abc
      * abc123
      * abcd
      * abcdef
      * abcdefg
      * Admin
      * admin
      * admin123
      * Administrator
      * administrator 
  
  	
  
      * alpha
      * asdf
      * asdfgh
      * computer
      * database
      * enable
      * god
      * godblessyou
      * Guest
      * guest
      * home
      * Internet
      * login
      * Login
      * love
      * mypass
      * mypass123
      * mypc
      * mypc123
      * oracle
      * owner
      * pass
      * passwd
      * Password
      * password
      * pw123
      * pwd
      * root
      * secret
      * server
      * sex
      * sql
      * super
      * sybase
      * temp
      * temp123
      * test
      * test123
      * win
      * xxx
      * yxcv
      * zxcv 
  

При удачном соединении копирует себя в "\admin$\system32\NetManager.exe" и запускает данный файл в качестве сервиса "Windows Management NetWork Service Extensions".

Червь создает папку "с:\windows\Media" доступной для доступа из локальной сети под именем \\Media.

Червь копирует себя на все доступные сетевые диски под именами:

  
      * autoexec.bat
      * Cain.pif
      * client.exe
      * Documents and Settings.txt.exe
      * findpass.exe
      * i386.exe
      * Internet Explorer.bat
      * Microsoft Office.exe
      * mmc.exe
      * MSDN.ZIP.pif
      * Support Tools.exe
      * Windows Media Player.zip.exe
      * WindowsUpdate.pif
      * winhlp32.exe
      * WinRAR.exe
      * xcopy.exe 

Удаленное администрирование

Червь открывает на зараженной машине произвольный TCP-порт для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе.

Действие

Завершает процессы, содержащие в именах строки:

  
      * Duba
      * Gate
      * KAV
      * kill
      * KV
      * McAfee 
  
  	
  
      * NAV
      * RavMon.exe
      * Rfw.exe
      * rising
      * SkyNet
      * Symantec