Connect with us

technokrata

Lovgate.AC: újabb variáns az állományainkra veszélyes féregvírusból

Dotkom

Lovgate.AC: újabb variáns az állományainkra veszélyes féregvírusból

Továbbra is futtatható állományokat fertőz a bejövő levelekre válaszolgató Lovgate féreg legújabb változatának egyike.

A fertőzött e-mail jellemzői

Bejövő e-mailekre válaszol a féreg, valamint a begyűjtött e-mailcímekre is továbbítja magát.

I. változat

Tárgy: Re: [az eredeti levél tárgya]

Tartalom:
´[feladó]´ wrote:
====
> [az eredeti üzenet tartalma]
>
====

[küldő domainje] account auto-reply:

Ezt a következő sorok valamelyike követi:
– If you can keep your head when all about you
– Are losing theirs and blaming it on you;
– If you can trust yourself when all men doubt you,
– But make allowance for their doubting too;
– If you can wait and not be tired by waiting,
– Or, being lied about,don´t deal in lies,
– Or, being hated, don´t give way to hating,
– And yet don´t look too good, nor talk too wise;
– … … more look to the attachment.

> Get your FREE [küldő domainje] account now! < Csatolmány: a következők valamelyike:
. the hardcore game-.pif
. Sex in Office.rm.scr
. Deutsch BloodPatch!.exe
. s3msong.MP3.pif
. Me_nude.AVI.pif
. How to Crack all gamez.exe
. Macromedia Flash.scr
. SETUP.EXE
. Shakira.zip.exe
. dreamweaver MX (crack).exe
. StarWars2 – CloneAttack.rm.scr
. Industry Giant II.exe
. DSL Modem Uncapper.rar.exe
. joke.pif
. Britney spears nude.exe.txt.exe
. I am For u.doc.exe

II. változat

Feladó: természetesen egy hamis cím

Tárgy: a következők valamelyike:
– test
– hi
– hello
– Mail Delivery System
– Mail Transaction Failed
– Server Report
– Status
– Error

Tartalom: az alábbiak egyike:
– It´s the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
– The message contains Unicode characters and has been sent as a binary attachment.
– Mail failed. For further assistance, please contact!
– pass

Csatolmány: egy .bat, .exe, .scr vagy .pif kiterjesztéssel bíró állomány, melynek neve az alábbiak közül kerül ki:
– document
– readme
– doc
– text
– file
– data
– test
– message
– body

A féreg paraméterei

Felfedezésének ideje: 2004. július 13.
Utolsó frissítés ideje: 2004. július 14.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 131.072 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza önmaga másolatát a Windows könyvtárban CDPlay.exe néven
– felmásolja magát a System könyvtárba a következő neveken:
. hxdef.exe
. IEXPLORE.EXE
. RAVMOND.exe
. WinHelp.exe
. Update_OB.exe
. TkBellExe.exe
– létrehozza ugyanitt a Kernel66.dll állományt, mely rejtett attributummal rendelkezik
– létrehozza a CDROM.COM állományt az összes meghajtó gyökérkönyvtárában (természetesen kivéve az optikai drive-okat), retjett, rendszer és csak olvasható attributummal
– létrehozza az Autorun.inf állományt az összes meghajtó gyökérkönyvtárában (természetesen kivéve az optikai drive-okat) az alábbi bejegyzésse:
[Autorun]
open=˝C:/cdrom.com˝ /StartExplorer
– létrehoz egy file-név.kiterjesztés formájú állományt az összes meghajtó gyökérkönyvtárában (kivéve az A és B drive-ot), ahol a név Bakeup, Tools vagy email lehet, a kiterjesztés pedig vagy ZIP vagy RAR
– hozzáadja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz az alábbi bejegyzéseket:
. Winhelp=[System elérési útvonala]/TkBellExe.exe…
. Hardware Profile=[System elérési útvonala]/hxdef.exe…
. Program in Windows=[System elérési útvonala]/IEXPLORE.exe
– hozzáadja a SystemTra=[Windows elérési útvonala]/CDPlay.exe és a COM++ Event System=exploier.exe… bejegyzéseket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices Registry kulcshoz
– hozzáadja a run=RAVMOND.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows Registry kulcshoz
– módosítja a HKEY_CLASSES_ROOT/txtfile/shell/open/command Registry kulcs alapértelmezett értékét a következőre: Update_OB.exe %1…
– leállítja az alábbi futó service-okat:
. Rising Realtime Monitor Service
. Symantec AntiVirus Server
. Symantec AntiVirus Client
– leállítja az összes olyan futó process-t, amely a következő sztringek bármelyikét is tartalmazza: Duba, NAV, kill, RavMon.exe, Rfw.exe, Gate, McAfee, Symantec, SkyNet, rising
– átnézi az összes meghajtót C-től Z-ig, minden .exe file-t átnevez .zmx kiterjesztésűnek, egyben rejtet és rendszer attributumokkal látja el őket; az eredeti EXE állományok helyére pedig önmagát másolja fel
– bevisz egy process-figyelő eljárást végrehajtási szálként az Explorer.exe és a Taskmgr.exe állományokba; amennyiben ez észreveszi, hogy a féreg process-e leállt, megkísérli újraindítani a System könyvtárban található Iexplore.exe állomány futtatásával
– a 6000-es porton keresztül futtatja backdoor rutinját, mely ellopja a kiszolgáltatott rendszer információit és a C meghajtó gyökerében levő Netlog.txt állományban tárolja, majd e-mailben továbbítja alkotójának
– a Kazaa megosztott könyvtárába felmásolja magát, néhány példa:
. wrar320sc
. REALONE
. BlackIcePCPSetup_creak
. Passware5.3
. word_pass_creak
. HEROSOFT
. orcard_original_creak
. rainbowcrack-1.1-win
. W32Dasm
. setup
. [véletlenszerűen generált file-név]
– megkísérel minden számítógépre bejelentkezni, amelyik a helyi hálózatban található; ehhez az Administrator felhasználónevet és a következő jelszavakat használja:
Guest
Administrator
zxcv
yxcv
xxx
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
88888888
2600
2003
2002
123asd
123abc
123456789
1234567
123123
121212
11111111
110
007
00000000
000000
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123
– amennyiben sikeresen be tudott jelentkezni, felmásolja magát a következőképp: //[távoli számítógép neve]/admin$/system32/NetManager32.exe; majd Windows Management NetWork Service Extension néven, service-ként futtatja ezt az állományt, s létrehoz egy Media nevű megosztott könyvtárat
– minden, hálózaton megosztott (al)könyvtárba felmásolja magát, néhány példa:
. WinRAR.exe
. Internet Explorer.bat
. Documents and Settings.txt.exe
. Microsoft Office.exe
. Windows Media Player.zip.exe
. Support Tools.exe
. WindowsUpdate.pif
– az Outlook Inboxában levő levelekre válaszol
– e-mailcímek után kutat a rendszerben, majd minden kontaktnak továbbítja magát saját SMTP-motorja révén



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek