Connect with us

technokrata

Újra támad a Lovgate féreg!

Dotkom

Újra támad a Lovgate féreg!

A már sokadik variánsban jelentkező Lovgate féreg újból próbálkozik betörni számítógépeinkre.

A fertőzött e-mail jellemzői

Tárgy: a következőkből választ egyet véletlenszerűen:
. Reply to this!
. Let´s Laugh
. Last Update
. for you
. Great
. Help
. Attached one Gift for u..
. Hi Dear
. See the attachement
Csatolmány: a következők egyike:
. About_Me.txt.pif
. driver.exe
. Doom3 Preview!!!.exe
. enjoy.exe
. YOU_are_FAT!.TXT.pif
. Source.exe
. Interesting.exe
. README.TXT.pif
. images.pif
. Pics.ZIP.scr
Tartalom: az alábbiak egyike:
. For further assistance, please contact!
. Copy of your message, including all the headers is attached.
. This is the last cumulative update.
. Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
. Send reply if you want to be official beta tester.
. This message was created automatically by mail delivery software (Exim).
. It´s the long-awaited film version of the Broadway hit. .Set in the roaring 20´s, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
. Adult content!!! Use with parental advisory.
. Patrick Ewing will give Knick fans something to cheer about Friday night.
. Send me your comments…

A féreg paraméterei

Felfedezésének ideje: 2003. május 22.
Védekezés elkészültének ideje: 2003. május 23.
Veszélyeztetett operációs rendszerek: Windows NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x/9x/Me, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 133.632 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba a következő neveken, rejtett, rendszer és csak olvasható attributummal:
. Ravmond.exe
. iexplore.exe
. WinGate.exe
. WinDriver.exe
. Winrpc.exe
. Winhelp.exe
. winexe.exe
. Kernel66.dll
– felmásolja az alábbi file-okat ugyanide, majd futtatja is ezeket:
. Task688.dll
. ily668.dll
. Reg678.dll
. Win32vxd.dll
– a fenti állományok a féreg trójai részeit képezik
– hozzáadja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz az alábbi bejegyzéseket:
. Program in Windows [System elérési útvonala]/iexplore.exe
. Remote Procedure Call Locator=rundll32.exe reg678.dll ondll_reg
. WinGate initialize=[System elérési útvonala]/WinGate.exe -remoteshell
. winhelp=[System elérési útvonala]/winhelp.exe
– hozzáadja a run RAVMOND.EXE bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows Registry kulcshoz
– módosítja a HKEY_CLASS_ROOT/exefile/shell/open/command kulcs default értékét a következőre: winexe.exe %1; ezentúl minden egyes EXE állomány megnyitásakor lefut a féreg
– módosítja a HKEY_CLASS_ROOT/txtfile/shell/open/command kulcs alapértékét a következőre: winrpc.exe %1; ennek révén a féreg minden alkalommal lefut, amikor egy text állomány kerül megnyitásra
– felmásolja magát a hálózaton megosztott könyvtárakba és alkönyvtárakba az alábbi neveken:
. Are you looking for Love.doc.exe
. autoexec.bat
. The world of lovers.txt.exe
. How To Hack Websites.exe
. Panda Titanium Crack.zip.exe
. Mafia Trainer!!!.exe
. 100 free essays school.pif
. AN-YOU-SUCK-IT.txt.pif
. Sex_For_You_Life.JPG.pif
. CloneCD + crack.exe
. Age of empires 2 crack.exe
. MoviezChannelsInstaler.exe
. Star Wars II Movie Full Downloader.exe
. Winrar + crack.exe
. SIMS FullDownloader.zip.exe
. MSN Password Hacker and Stealer.exe
– a 1092-es, a 20168-as és a 6000-es TCP portokon hallgatózik, illetve értesíti alkotóját a következő e-mailcímeken: 163.com, yahoo.com.cn és sina.com.
– egy jelszóazonosító eljárást futtat a 1092-es porton keresztül; ha ez sikeresen lefutott, a támadó hozzáférhet a shellhez
– a 20168-as porton keresztül szintén ez történik, a jelszavas azonosítástól eltekintve
– a 6000-es porton keresztül egy trójai képességet próbál meg kihasználni, de az elrontott kód miatt ez nem a megfelelően működik
– begyűjt minden e-mailcímet HTML állományokból, illetve az Outlook Inboxában levő levelekre válaszol
– megkísérel minden számítógépre bejelentkezni, amelyik a helyi hálózatban található; ehhez az Administrator felhasználónevet és a következő jelszavakat használja:
zxcv
yxcv
xxx
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
88888888
2600
2003
2002
123asd
123abc
123456789
1234567
123123
121212
11111111
110
007
00000000
000000
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123
– amennyiben sikeresen be tudott jelentkezni, felmásolja magát a következőképp: //[távoli számítógép neve]/admin$/system32/Net_Services.exe; majd Microsoft NetWork FireWall Services néven service-ként futtatja ezt az állományt
– létrehozza a Windows Management Instrumentation Driver Extension service-t, amelyik a [System32 elérési útvonala]/WinDriver.exe állományra mutat
– létrehozza a NetMeeting Remote Desktop (RPC) Sharing service-t, ami a Rundll32.exe task688.dll ondll_server file-okra mutat
– magát service processként regisztrálja
– az Lsass.exe-ben létrehoz két végrehajtási szálat, melyek különböző portokon (1092, 20168) ˝hallgatóznak˝
– telepít egy process-figyelő rutint, amely újraindítja a férget, ha azt valami eltávolította a memóriából
– létrehozza az I—WORM—IPC—20168 nevű mutexet, ami megakadályozza, hogy a féreg kétszer töltődjön be a memóriába
– leállítja az összes futó processt, mely a következő stringek bármelyikét is tartalmazza:
. KV
. KAV
. Duba
. NAV
. kill
. RavMon.exe
. Rfw.exe
. Gate
. McAfee
. Symantec
. SkyNet
. rising
– létrehoz egy GAME nevezetű hálózati megosztást, amely a Windows Temporary könyvtárára mutat
– ebbe a könyvtárba felmásolja magát a következő neveken:
[véletlenszerűen generált név].txt.exe
[véletlenszerűen generált név].jpg.exe
[véletlenszerűen generált név].mp3.exe
[véletlenszerűen generált név].htm.exe
[véletlenszerűen generált név].rm.exe
[véletlenszerűen generált név].avi.exe
[véletlenszerűen generált név].doc.exe
[véletlenszerűen generált név].gif.exe
[véletlenszerűen generált név].dat.exe
– bemásolja a Drwtsn16.exe állományt a Windows könyvtárba
– ezen file-t le is futtatja, melynek révén megfertőzi az összes EXE állományt a helyi meghajtón és a hálózati megosztásokon; ezek az állományok a W32.HLLW.Lovgate.G változatával lesznek fertőzöttek



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek