Új féreg az interneten: Lovgate

www.piksys.hu www.piksys.hu, 2003. február 24. 22:15
Új, levelezéssel terjedő vírust azonosítottak W32/Lovgate@M néven (McAfee). A vírus a beérkezett üzenetek mappában lévő levelekre válaszol, de nem küldi tovább magát a címjegyzékben szereplő címekre.
A McAfee víruselemző csoportja (AVERT) a Lovgate vírus egy 78,848 bájt hosszúságú változatát azonosította (C variáns), ezt csak a 4249-es és újabb adatbázisok ismerik fel. A programféreg email-en (van saját SMTP modulja) és hálózati megosztásokon keresztül terjed. Emelett egy trójai programot is telepít a számítógépre (a 10168-as portot nyitja meg a fertőzött számítógépen.)

A programféreg az INBOX (Bejövő üzenetek) minden üzenetére saját SMTP modulja segítségével automatikusan válaszol. A féreg csatolt állományként van az üzenetekben és az alábbi szabályszerűség alapján küldi tovább magát (ennek tudható be, hogy sokkal lassabban terjed, mint a klasszikus "mass-mailer" vírusok - ezt jelzi a vírus nevében a @M jelzés). Ha az Inbox-ban lévő üzenet a ???@wherever.com címről érkezett, akkor a válaszlevél formája:

Wherever.com account auto-reply:

' I'll try to reply as soon as possible.

Take a look at the attachment and send me your opinion!'

>Get your Free wherever.com account now! <

Programféreg komponens

A féreg képes hálózati megosztásokon keresztül is terjedni. Megkeresi a hálózaton megosztott könyvtárakat, alkönyvtárakat és az alábbi állománynevek valamelyikén odamásolja magát:

fun.exe

images.exe

news_doc.exe

s3msong.exe

pics.exe

billgt.exe

midsong.exe

PsPGame.exe

hamster.exe

setup.exe

tamagotxi.exe

joke.exe

docs.exe

searchurl.exe

card.exe

pics.exe

Trójai komponens

A féreg egy 77,824 byte hosszú trójai programot is telepít a számítógépre az alábbi állománynevek valamelyikén: ILY.DLL, 1.DLL, REG.DLL és TASK.DLL. A trójai program megnyitja a 10468-as portot és figyelmeztető email-t küld a vírus írójának. (Az email-ben a számítógép általános tulajdonságait is elküldi - egyes esetekben jelszavakat is.) A trójai program detektálásához a 4249-es adatbázisok szükségesek.

Tünetek:

Bejegyzések a regisztrációs adatbázisban (Registry)

A fent említett állományok jelenléte

Nyitott 10168 port

A fertőzés menete:

A féreg email-en és hálózati megosztásokon keresztül terjed. Válaszlevélként továbbküldi magát és/vagy bemásolja magát a megosztott hálózati könyvtárakba.

Futtatása után bemásolja magát a %System% könyvtárba:

WinGate.exe

rpcsrv.exe

syshelp.exe

winrpc.exe

WinRpcsrv.exe

A trójai komponens is a %System% könyvtárba kerül az alábbi néven:

1.dll

reg.dll

ily.dll

task.dll

(Megjegyzés: a %System% könyvtár a Windows operációs rendszerek rendszerkönyvtára, amely általában a C:\Windows\System könyvtárat jelenti Windows 9x/ME, C:\WINNT\System32 a Windows NT/2000, és a C: \Windows\System32 Windows XP esetén.)

Az alábbi kulcsok jönnek létre a regisztrációs adatbázisban:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "syshelp" = C:\WINDOWS\SYSTEM\syshelp.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "WinGate initialize" = C:\WINDOWS\SYSTEM\WinGate.exe -remoteshell

A trójai komponens szintén bejegyzést készít Regsitry-ben:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Module Call initialize" = RUNDLL32.EXE reg.dll ondll_reg

Az alábbi kulcs a szöveges állományok megnyitási módját állítja át:

HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = "winrpc.exe %1"

A féreg Windows NT/2000 operációs rendszeren 'Window Remote Service' néven szervizként települ (WINRPCSRV.EXE). A trójai program szintén szervizként

1. dll_reg

2. 2. Windows Management Extension néven települ. A féreg módosítja a WIN.INI állományt az alábbiak szerint:

[windows]

run=rpcsrv.exe

További elnevezések:

"A" variáns: 77,312 byte

"B" variáns:84,992 byte

"C" variáns:78,848 byte

leírás: http://www.piksys.hu/vinfo/lovgate.htm