Prim Hírek

A McAfee víruselemző csoportja (AVERT) a Lovgate vírus egy 78,848 bájt hosszúságú változatát azonosította (C variáns), ezt csak a 4249-es és újabb adatbázisok ismerik fel. A programféreg email-en (van saját SMTP modulja) és hálózati megosztásokon keresztül terjed. Emelett egy trójai programot is telepít a számítógépre (a 10168-as portot nyitja meg a fertőzött számítógépen.)

Levelező komponens

A programféreg az Outlook Express és az Outlook Inbox mappában (Bejövő üzenetek) lévő minden üzenetre automatikusan válaszol, amihez saját SMTP modulját és az smtp.163.com-ot használja. A féreg csatolt állományként van jelen az üzenetekben, az alábbi állománynevek egyikét használja:

fun.exe

images.exe

news_doc.exe

s3msong.exe

pics.exe

billgt.exe

midsong.exe

PsPGame.exe

hamster.exe

setup.exe

tamagotxi.exe

joke.exe

docs.exe

searchurl.exe

card.exe

pics.exe

Ezenkívűl az alábbi szabályszerűséget követve küldi tovább magát (ennek tudható be, hogy sokkal lassabban terjed, mint a klasszikus "mass-mailer" vírusok - ezt jelzi a vírus nevében a @M jelzés):

Ha az Inbox-ban lévő üzenet a ???@wherever.com címről érkezett, akkor a válaszlevél formátuma:

'name' wrote:

Message body

wherever.com account auto-reply:

' I'll try to reply as soon as possible.

Take a look at the attachment and send me your opinion!'

Get your Free wherever.com account now!

P>Programféreg komponens

A féreg képes hálózati megosztásokon keresztül is terjedni. Megkeresi a hálózaton megosztott könyvtárakat, alkönyvtárakat és az alábbi állománynevek valamelyikén odamásolja magát:

fun.exe

images.exe

news_doc.exe

s3msong.exe

pics.exe

billgt.exe

midsong.exe

PsPGame.exe

hamster.exe

setup.exe

tamagotxi.exe

joke.exe

docs.exe

searchurl.exe

card.exe

pics.exe

A programféreg továbbá megkeresi a %Personal% könyvtárban a .HT* állományokban található email címeket és az alábbi módon továbbküldi magát:

Subject: Cracks!

Body: Check our list and mail your requests!

Attachment: CrkList.exe

vagy

Subject: The patch

Body: I think all will work fine.

Attachment: Patch.exe

vagy

Subject: Last Update

Body: This is the last cumulative update.

Attachment: LUPdate.exe

vagy

Subject: Do not release

Body: This is the pack ;)

Attachment: Pack.exe

vagy

Subject: Beta

Body: Send reply if you want to be official beta tester.

Attachment: _SetupB.exe

vagy

Subject: Help

Body: I'm going crazy... please try to find the bug!

Attachment: Source.exe

vagy

Subject: Evaluation copy

Body: Test it 30 days for free.

Attachment: Setup.exe

vagy

Subject: Pr0n!

Body: Adult content!!! Use with parental advisory.

Attachment: Sex.exe

vagy

Subject: Roms

Body: Test this ROM! IT ROCKS!

Attachment: Roms.exe

vagy

Subject: Documents

Body: Send me your comments...

Attachment: Docs.exe

Trójai komponens

A féreg egy 77,824 byte hosszú trójai programot is telepít a számítógépre az alábbi állománynevek valamelyikén: ILY.DLL, 1.DLL, REG.DLL és TASK.DLL. A trójai program megnyitja a 10468-as portot és figyelmeztető email-t küld a a hacker117@163.com és hello_dll@163.com címre. (Az email-ben a számítógép általános tulajdonságait is elküldi - egyes esetekben jelszavakat is.) A trójai program detektálásához a 4249-es adatbázisok szükségesek.

Tünetek:

Bejegyzések a regisztrációs adatbázisban (Registry)

A fent említett állományok jelenléte

Nyitott 10168 port

A fertőzés menete:

A féreg email-en és hálózati megosztásokon keresztül terjed. Válaszlevélként továbbküldi magát és/vagy bemásolja magát a megosztott hálózati könyvtárakba.

Futtatása után bemásolja magát a %System% könyvtárba:

WinGate.exe

rpcsrv.exe

syshelp.exe

winrpc.exe

WinRpcsrv.exe

A trójai komponens is a %System% könyvtárba kerül az alábbi néven:

1.dll

reg.dll

ily.dll

task.dll

(Megjegyzés: a %System% könyvtár a Windows operációs rendszerek rendszerkönyvtára, amely általában a C:\Windows\System könyvtárat jelenti Windows 9x/ME, C:\WINNT\System32 a Windows NT/2000, és a C: \Windows\System32 Windows XP esetén.)

Az alábbi kulcsok jönnek létre a regisztrációs adatbázisban:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "syshelp" = C:\WINDOWS\SYSTEM\syshelp.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "WinGate initialize" = C:\WINDOWS\SYSTEM\WinGate.exe -remoteshell

A trójai komponens szintén bejegyzést készít Regsitry-ben:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Module Call initialize" = RUNDLL32.EXE reg.dll ondll_reg

Az alábbi kulcs a szöveges állományok megnyitási módját állítja át:

HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = "winrpc.exe %1"

A féreg Windows NT/2000 operációs rendszeren 'Window Remote Service' néven szervizként települ (WINRPCSRV.EXE). A trójai program szintén szervizként

1. dll_reg

2. 2. Windows Management Extension néven települ. A féreg módosítja a WIN.INI állományt az alábbiak szerint:

[windows]

run=rpcsrv.exe Eltávolítási utasítások:

1. Használja a 4249-es adatbázisokat.

2. Az alábbi EXTRA.DAT adatbázisokkal:

EXTRA.DAT - másolja be abba a könyvtárba, ahol a CLEAN.DAT, NAMES.DAT, és SCAN.DAT található, majd indítsa újra a víruskereső program szervizét (C:\Program Files\Common Files\Network Associates\VirusScan Engine\4.0.xx)

SuperExtraDat

Kiegészítő eltávolítási utasítások Windows ME/XP-hez

Változatok:

"A" variáns: 77,312 byte

"B" variáns:84,992 byte

"C" variáns:78,848 byte

További elnevezések:

I-Worm.Supnot.c (AVP)

W32.HLLW.Lovgate.C@mm (NAV)

W32/Lovgate.c@M

WORM_LOVGATE.C (Trend)