Válaszlevélként érkezik a Lovgate féregvírus

A fertőzött e-mail jellemzői

Bejövő e-mailekre válaszol a féreg.

Tárgy: Re: [az eredeti levél tárgya]

Tartalom:
´[feladó]´ wrote:
====
> [az eredeti üzenet tartalma]
>
====

[küldő domainje] account auto-reply:

Ezt a következő sorok valamelyike követi:
– If you can keep your head when all about you
– Are losing theirs and blaming it on you;
– If you can trust yourself when all men doubt you,
– But make allowance for their doubting too;
– If you can wait and not be tired by waiting,
– Or, being lied about,don´t deal in lies,
– Or, being hated, don´t give way to hating,
– And yet don´t look too good, nor talk too wise;
– … … more look to the attachment.

> Get your FREE [küldő domainje]now! < Csatolmány: bat, .cmd, .exe, .pif vagy .scr kiterjesztésű, nevei a következők lehetnek:
. document
. readme
. doc
. text
. file
. data
. test
. message
. body

A féreg paraméterei

Felfedezésének ideje: 2004. március 17.
Utolsó frissítés ideje: 2004. március 18.
Veszélyeztetett rendszerek: Windows NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 105.472 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba a következő neveken, rejtett, rendszer és csak olvasható attributummal:
. Systra.exe
. iexplore.exe
. Winexe.exe
. RAVMOND.exe
. WinHelp.exe
. Kernel66.dll,
– felmásolja az alábbi file-okat ugyanide; ezek a féreg trójai komponensei (mindegyik mérete 53.760 byte):
. ODBC16.dll
. msjdbc11.dll
. MSSIGN30.DLL
– módosítja a HKEY_CLASS_ROOT/exefile/shell/open/command kulcs alapértékét a következőre: [System elérési útvonala]/winexe.exe %1; ennek révén a féreg minden alkalommal lefut, amikor egy EXE állomány kerül megnyitásra
– hozzáadja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz az alábbi bejegyzéseket:
. Program in Windows [System elérési útvonala]/iexplore.exe
. VFW Encoder/Decoder Settings=rundll32.exe MSSIGN30.DLL ondll_reg
. winhelp=[System elérési útvonala]/winhelp.exe
– hozzáadja a Systemtra=[Windows elérési útvonala]/Systra.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcshoz
– létrehozhatja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ZMXLIB1 kulcsot is
– Windows 9x/Me alatt módosítja a Win.ini állomány [windows] részlegét a következő sor hozzáadásával: run=[System elérési útvonala]/RAVMOND.exe
– önmagát service-ként (NetMeeting Remote Sharing) regisztrálja, így kijelentkezés után is tovább futhat
– leállítja az összes olyan futó process-t, amely a következő sztringek bármelyikét is tartalmazza: KV,
KAV, Duba, NAV, kill, RavMon.exe, Rfw.exe, Gate, McAfee, Symantec, SkyNet, rising
– a 6000-es porton keresztül futtatja backdoor rutinját, mely ellopja a kiszolgáltatott rendszer információit és a C meghajtó gyökerében levő Netlog.txt állományban tárolja, majd e-mailben továbbítja alkotójának
– a rendszerleíró adatbázisban megkeresi a Kazaa megosztott könyvtárának a helyét, majd bemásolja oda magát .bat, .exe., .pif vagy .scr kiterjesztésű állományként; a következő neveket használva:
. wrar320sc
. REALONE
. BlackIcePCPSetup_creak
. Passware5.3
. word_pass_creak
. HEROSOFT
. orcard_original_creak
. rainbowcrack-1.1-win
. W32Dasm
. setup
. [véletlenszerűen választott file-név]
– felmásolja magát a hálózaton megosztott könyvtárakba és alkönyvtárakba az alábbi neveken:
. Are you looking for Love.doc.exe
. autoexec.bat
. The world of lovers.txt.exe
. How To Hack Websites.exe
. Panda Titanium Crack.zip.exe
. Mafia Trainer!!!.exe
. 100 free essays school.pif
. AN-YOU-SUCK-IT.txt.pif
. Sex_For_You_Life.JPG.pif
. CloneCD + crack.exe
. Age of empires 2 crack.exe
. MoviezChannelsInstaler.exe
. Star Wars II Movie Full Downloader.exe
. Winrar + crack.exe
. SIMS FullDownloader.zip.exe
. MSN Password Hacker and Stealer.exe
– megkísérel minden számítógépre bejelentkezni, amelyik a helyi hálózatban található; ehhez az Administrator felhasználónevet és a következő jelszavakat használja:
zxcv
yxcv
xxx
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
88888888
2600
2003
2002
123asd
123abc
123456789
1234567
123123
121212
11111111
110
007
00000000
000000
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123
– amennyiben sikeresen be tudott jelentkezni, felmásolja magát a következőképp: //[távoli számítógép neve]/admin$/system32/NetManager.exe; majd Microsoft Windows Management NetWork Service Extensions néven service-ként futtatja ezt az állományt
– telepít egy process-figyelő rutint, mely az Explorer.exe és a Taskmgr.exe állományokat figyeli; ennek révén minden alkalommal, amikor a féreg működése leáll, elindítja a System32 könyvtárból az Iexplore.exe file-t
– létrehoz egy GAME nevezetű hálózati megosztást, amely a Windows java könyvtárára mutat
– az Outlook Inboxában levő levelekre válaszol