W32.HLLW.Lovgate.C@mm – 3-as veszélyességi szintű féregvírus

A fertőzött e-mail paraméterei

Tíz, előre generált sémából választ egyet véletlenszerűen.

Tárgy: Documents
Csatolmány: Docs.exe
Tartalom: Send me your comments…

Tárgy: Roms
Csatolmány: Roms.exe
Tartalom: Test this ROM! IT ROCKS!.

Tárgy: Pr0n!
Csatolmány: Sex.exe
Tartalom: Adult content!!! Use with parental advisory.

Tárgy: Evaluation copy
Csatolmány: Setup.exe
Tartalom: Test it 30 days for free.

Tárgy: Help
Csatolmány: Source.exe
Tartalom: I´m going crazy… please try to find the bug!

Tárgy: Beta
Csatolmány: _SetupB.exe
Tartalom: Send reply if you want to be official beta tester.

Tárgy: Do not release
Csatolmány: Pack.exe
Tartalom: This is the pack 😉

Tárgy: Last Update
Csatolmány: LUPdate.exe
Tartalom: This is the last cumulative update.

Tárgy: The patch
Csatolmány: Patch.exe
Tartalom: I think all will work fine.

Tárgy: Cracks!
Csatolmány: CrkList.exe
Tartalom: Check our list and mail your requests!

A féreg tulajdonságai

Felfedezésének ideje: 2003. február 24.
Utolsó frissítés ideje: 2003. február 24.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Windows 3.x, Macintosh, OS/2, UNIX, Linux
Mérete: 78.848 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– Win32vxd.dll néven létrehoz egy jelszótolvaj trójai programot, amely ugyanitt még létrehozhat egyéb file-okat is, melyekben a megszerzett információt tárolja

Windows 9x/Me alatt

– a következő neveken másolja fel magát a System könyvtárba: WinRpcsrv.exe, syshelp.exe, winrpc.exe, WinGate.exe, rpcsrv.exe
– hozzáadja a run=rpcsrv.exe sort a Win.ini állomány [windows] részéhez
– felmásolja az alábbi állományokat a System könyvtárba, majd futtatja is őket: ily.dll, task.dll, reg.dll, 1.dll
– hozzáadja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz az alábbi bejegyzéseket:
syshelp [System elérési útvonala]/syshelp.exe
WinGate initialize [System elérési útvonala]/WinGate.exe -remoteshell
Module Call initialize RUNDLL32.EXE reg.dll ondll_reg
– módosítja a HKEY_CLASS_ROOT/txtfile/shell/open/command kulcs default értékét, mégpedig a következőre: winrpc.exe %1
– felmásolja magát minden hálózaton keresztül megosztott könyvtárba és alkönyvtárba a következő nevek valamelyikén: pics.exe, images.exe, joke.exe, pspgame.exe, news_doc.exe, hamster.exe, tamagotxi.exe, searchurl.exe, setup.exe, card.exe, billgt.exe, midsong.exe, s3msong.exe, docs.exe, humor.exe, fun.exe
– a 10168-as porton hallgatózik, és e-mailen keresztül értesíti a támadót (a féreg egyébként egy jelszavas azonosítási rendszerrel bír; a megfelelő jelszó bevitele után egy command shell várja a támadót)
– abban a könyvtárban, ahol futtatásra került, illetve a Windows és a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders/Personal Registry kulcs bejegyzése által megjelölt könyvtárban ht kezdetű kiterjesztéssel bíró állományok után keres, amennyiben talál, kigyűjti belőlük az e-mailcímeket, majd ezekre továbbítja magát
– a bejövő postafiókban levő e-mailcímekre továbbítja magát a következő karakterisztikában:
Tárgy: Re: [a bejövő postafiókban levő e-mail tárgya]
Címzett: SMTP: [e-mailcím]
Tartalom:
[Név] wrote:
===
> [eredeti tartalom]
>
===

[URL] account auto-reply:

´ I´ll try to reply as soon as possible.
Take a look to the attachment and send me your opinion! ´

> Get your FREE [URL] account now! <
Csatolmány: a következőkből egy:
pics.exe, images.exe, joke.exe, pspgame.exe, news_doc.exe, hamster.exe, tamagotxi.exe, searchurl.exe, setup.exe, card.exe, billgt.exe, midsong.exe, s3msong.exe, docs.exe, humor.exe, fun.exe

Windows NT/2k/XP alatt

– bemásolja magát a System könyvtárba ssrv.exe néven
– létrehozza a HKEY_LOCAL_MACHINE/Software/KittyXP.sql/Install Registry kulcsot
– hozzáadja a run rpcsrv.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows Registry kulcshoz
– amennyiben a féreg felfedezi az LSASS.EXE process működését, létrehoz egy futási szálat, s ennek révén beleviszi saját magát
– elindítja Windows Management Extension service-ként trójai alkotóelemét
– a helyi hálózaton végignézi az összes számítógépet és megpróbál oda bejutni Administrator néven a következő jelszavak felhasználásával:
[üresen hagyott jelszó]
123
321
123456
654321
guest
administrator
admin
111111
666666
888888
abc
abcdef
abcdefg
12345678
abc123
– amennyiben sikerül neki a bejutás, felmásolja magát a távoli számítógépre: /[távoli.számítógép.neve]/admin$/system32/stg.exe – futtatja a fenti file-t Microsoft NetWork Services FireWall service néven