Характеристика вируса
Данный вирус определяется продуктами McAfee с установленными базами 4229 как W32/Lovgate.c@M.
Вирус представляет себой почтового червя, который также распространяется через общие сетевые ресурсы и устанавливает на зараженную машину троянский компонент удаленного доступа. Червь очень похож на вирус W32/Plage.worm, т.к. устанавливает на машину такие же файлы, а также отправляет аналогичное сообщение. Основное отличие вирусов семейства W32/Lovgate заключается в том, что они написаны на MSVC, тогда как W32/Plage создан с помощью Borland C.
Почтовый компонент
Червь имеет возможность отправлять ответы на все новые сообщения в Outlook и Outlook Express, используя встроенный механизм SMTP и сервер smtp.163.com. Он также включает в письмо собственный код в виде вложения с одним из следующих имен:
- fun.exe
- images.exe
- news_doc.exe
- s3msong.exe
- pics.exe
- billgt.exe
- midsong.exe
- PsPGame.exe
- hamster.exe
- setup.exe
- tamagotxi.exe
- joke.exe
- docs.exe
- searchurl.exe
- card.exe
- pics.exe
Данная стратегия распространения (ответ на входящее письмо) приводит к тому, что скорость распространения вируса не очень высока, что отражено в суффиксе @M в названии вируса.
Если, к примеру, Вы получаете письмо от «???@wherever.com», то червь отправит автоматически ответ на него в следующем формате:
'name' wrote:
====
> Message body
====
wherever.com account auto-reply:
' I'll try to reply as soon as possible.
Take a look at the attachment and send me your opinion!'
> Get your Free wherever.com account now!
Кроме отправки ответов на входящие письма, вирус может производить поиск почтовых адресов в файлах *.HT* личного каталога пользователя (%Personal%). Отправляемые по найденным адресам письма могут выглядеть следующим образом:
Subject: Cracks!
Body: Check our list and mail your requests!
Attachment: CrkList.exe
или
Subject: The patch
Body: I think all will work fine.
Attachment: Patch.exe
или
Subject: Last Update
Body: This is the last cumulative update.
Attachment: LUPdate.exe
или
Subject: Do not release
Body: This is the pack ;)
Attachment: Pack.exe
или
Subject: Beta
Body: Send reply if you want to be official beta tester.
Attachment: _SetupB.exe
или
Subject: Help
Body: I'm going crazy... please try to find the bug!
Attachment: Source.exe
или
Subject: Evaluation copy
Body: Test it 30 days for free.
Attachment: Setup.exe
или
Subject: Pr0n!
Body: Adult content!!! Use with parental advisory.
Attachment: Sex.exe
или
Subject: Roms
Body: Test this ROM! IT ROCKS!
Attachment: Roms.exe
или
Subject: Documents
Body: Send me your comments...
Attachment: Docs.exe
Компонент распространения по сети
Червь имеет возможность распространения через общие сетевые ресурсы. Он сканирует сеть на предмет наличия открытых разделенных ресурсов и создает свои копии во всех каталогах и подкаталогах, используя следующие имена файлов:
- fun.exe
- images.exe
- news_doc.exe
- s3msong.exe
- pics.exe
- billgt.exe
- midsong.exe
- PsPGame.exe
- hamster.exe
- setup.exe
- tamagotxi.exe
- joke.exe
- docs.exe
- searchurl.exe
- card.exe
- pics.exe
Троянский компонент
Вирус устанавливает троянский компонент (77824 байт) под следующими именами: ILY.DLL, 1.DLL, REG.DLL и TASK.DLL.
Троянская программа открывает на зараженной машине TCP порт 10168, а также порт 1192 на машинах NT/2K/XP и отправляет уведомление по электронной почте взломщику о появлении новой уязвимой машины. Уведомление отправляется по следующим адресам:
hacker117@163.com
hello_dll@163.com
Также взломщику отправляется информация о зараженной машине, которая может включать и системный пароль. Троянский компонент обнаруживается продуктами с базой 4249 под именем BackDoor-AQJ.
Симптомы
- Наличие в реестре ключей, описанных ниже.
- Наличие файлов, описанных ниже.
- Порт 10168 открыт на зараженной машине.
Метод заражения
Червь распространяется по электронной почте (содержит собственный механизм SMTP) и через разделенные сетевые ресурсы. Он копирует себя в каталоги и подкаталоги на открытых сетевых ресурсах, а также отвечает на входящие почтовые сообщения. Кроме того, устанавливает на зараженную машину троянский компонент (порт 10168 и порт 1192 на системах семейства NT открыты на зараженных машинах).
Будучи выполненным, он копирует себя в каталог %System% как:
- WinGate.exe
- rpcsrv.exe
- syshelp.exe
- winrpc.exe
- WinRpcsrv.exe
Троянский компонент также устанавливается в каталог %System% (несколько раз с различными именами):
- 1.dll
- reg.dll
- ily.dll
- task.dll
(Примечание: %System% - это системный каталог Windows, обычно C:\Windows\System на Windows 9x/ME, C:\WINNT\System32 на Windows NT/2000 или C:\Windows\System32 на Windows XP).
В реестр добавляются следующие ключи для автоматического запуска при загрузке системы:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
Run "syshelp" = C:\WINDOWS\SYSTEM\syshelp.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
Run "WinGate initialize" = C:\WINDOWS\SYSTEM\WinGate.exe -remoteshell
Также добавляется ключ для автоматического запуска троянского компонента:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run "Module Call initialize" = RUNDLL32.EXE reg.dll ondll_reg
Следующий ключ реестра модифицируется для перехвата открытия текстовых файлов:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Default) = "winrpc.exe %1"
При выполнении на Windows NT/2000/XP червь устанавливает себя как сервис под именем «Window Remote Service» (выполняется копия червя под именем WINRPCSRV.EXE). Один из троянских компонентов (TASK.DLL) также устанавливается как два сервиса со следующими именами:
- dll_reg
- Windows Management Extension
Червь также изменяет WIN.INI, добавляя команду «Run» в следующем виде:
[windows]
run=rpcsrv.exe
Инструкции по удалению
Возможности обнаружения и удаления включены в DAT-файлы 4249.
Доступны следующие EXTRA.DAT пакеты:
EXTRA.DAT
SUPER EXTRA.DAT
Возможные названия
BackDoor-AQJ
I-Worm.Supnot.c (AVP)
W32.HLLW.Lovgate.C@mm (NAV)
W32/Lovgate.c@M
WORM_LOVGATE.C (Trend)
