Connect with us

technokrata

Futtatható állományokat fertőz a legújabb Lovgate féreg

Dotkom

Futtatható állományokat fertőz a legújabb Lovgate féreg

Rengeteg változatának létezése ellenére újabb variáns született meg a Lovgate féregből, mely ismét bejövő levelekre válaszolva és hálózati megosztásokon terjedve szaporodik.

A fertőzött e-mail jellemzői

Bejövő e-mailekre válaszol a féreg.

Tárgy: Re: [az eredeti levél tárgya]

Tartalom:
´[feladó]´ wrote:
====
> [az eredeti üzenet tartalma]
====

[küldő domainje] account auto-reply:

Ezt a következő sorok valamelyike követi:
– If you can keep your head when all about you
– Are losing theirs and blaming it on you;
– If you can trust yourself when all men doubt you,
– But make allowance for their doubting too;
– If you can wait and not be tired by waiting,
– Or, being lied about,don´t deal in lies,
– Or, being hated, don´t give way to hating,
– And yet don´t look too good, nor talk too wise;
– … … more look to the attachment.

> Get your FREE [küldő domainje] account now! < Csatolmány: a következők valamelyike:
. MacroMedia.pif
. Butterfly Garden.scr
. Matrix Reloaded 3D.exe
. s3msong.MP3.pif
. MyIE.AVI.pif
. WindowsXP Creak.exe
. Macromedia Flash.scr
. Photoshop.EXE
. Shakira.zip.exe
. dreamweaver MX (crack).exe
. StarWars2 – CloneAttack.rm.scr
. Industry Giant II.exe
. HyperSnap-DX v5.rar.exe
. joke.exe
. MSN Messenger.exe
. FlashFXP.exe

A féreg paraméterei

Felfedezésének ideje: 2004. augusztus 7.
Utolsó frissítés ideje: 2004. augusztus 7.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 129.536 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehozza a JAVA nevű hálózati megosztást, mely a Windows könyvtár JAVA mappájára mutat
– felmásolja magát minden hálózati megosztásba, amibe tudja, a következő nevek valamelyikén:
. WinGate V5.0.10 Build.exe
. WINISO 5.3.exe
. Winamp skin_FinalFantasy.exe
. i386.exe
. Serv-U FTP Server 4.1.exe
. Daemon Tools v3.41.exe
. autoexec.bat
. Windows 2000 sp4.ZIP.exe
. Flash2X Flash Hunter v1.1.2.pif
. Minilyrics_Std_2.7.233.pif
. Support Tools.exe
. Windows Media Player.zip.exe
. Microsoft Office.exe
. eMule-0.42e-VeryCD0407Install.exe
. FoxMail V5.0.500.0.exe
. EnterNet 500 V1.5 RC1.exe
– létrehozza a Windows könyvtárban az Office.exe és a Video.EXE állományokat
– létrehozza a System könyvtárban a következő file-okat:
. hxdef.exe
. iexplore.exe
. iexplorer.exe
. real.exe
. TkBellExe.exe
. Update_OB.exe
. kernel66.dll (rejtett állomány)
– létrehozza a következő file-okat ugyanitt: ODBC16.dll, msjdbc11.dll, MSSIGN30.DLL, Lmmib20.dll
– létrehozza az upDate.exe állományt az összes helyi meghajtó gyökérkönyvtárában, kivéve természetesen az optikai meghajtójat; a file attributumai: rendszer, rejtett és csak olvasható
– felülírja az autorun.inf állományt a fenti meghajtókon a következővel:
[AUTORUN]
Open=˝C:/upDate.exe˝ /StartExplorer
– – létrehoz egy archív (RAR) állományt önmagáról, minden írható meghajtón, kivéve az A és B drive-okat; a file neve Bakeup, ghost vagy email lehet
– annak érdekében, hogy minden rendszerinduláskor betöltésre kerüljön, létrehozza a következő Registry bejegyzéseket:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/˝Microsoft Inc.˝=˝iexplorer.exe…˝
. HKEY_LOCAL_MACHINE/HKLM/Software/Microsoft/Windows/CurrentVersion/Run/˝Program In Windows˝=˝[System elérési útvonala]/IEXPLORE.EXE˝
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/˝Protected Storage˝=˝RUNDLL32.EXE MSSIGN30.DLL ondll_reg…˝
. HKEY_LOCAL_MACHINE/HKLM/Software/Microsoft/Windows/CurrentVersion/Run/˝VFW Encoder/Decoder Settings˝=˝RUNDLL32.EXE MSSIGN30.DLL ondll_reg…˝
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/˝WinHelp˝=˝[System elérési útvonala]/TkBellExe.exe…˝
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/runServices/˝SystemTra˝=˝C:/WINDOWS/Video.EXE˝
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices/˝Soft Profile Inc˝=˝[System elérési útvonala]/hxdef.exe…˝
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices/˝Installed shell32.dll˝=˝Office.exe…˝
. HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows/˝run˝=˝real.exe˝
. HKEY_CLASSES_ROOT/txtfile/shell/open/command/(Default) = ˝Update_OB.exe %1…˝
– leállítja a következő process-eket:
. Rising Realtime Monitor Service
. Symantec AntiVirus Server
. Symantec AntiVirus Client
– leállítja az összes olyan futó process-t, amely a következő sztringek bármelyikét is tartalmazza: Duba, NAV, kill, RavMon.exe, Rfw.exe, Gate, McAfee, Symantec, SkyNet, rising
– átnézi az összes meghajtót C-től Z-ig, minden .exe file-t átnevez .zmx kiterjesztésűnek, egyben rejtett és rendszer attributumokkal látja el őket; az eredeti EXE állományok helyére pedig önmagát másolja fel
– végrehajtási szálként bevisz egy process-figyelő rutint az Explorer.ex vagy Taskmgr.exe állományokba, amely képes újraindítani a férget, ha annak valamilyen okból leállt a működése
– a 6000-es porton keresztül futtatja backdoor rutinját, mely ellopja a kiszolgáltatott rendszer információit és a C meghajtó gyökerében levő Netlog.txt állományban tárolja, majd e-mailben továbbítja alkotójának
– megkeresi a Kazaa megosztott könyvtárát, és felmásolja magát oda különböző figyelemfelkeltő neveken
– megkísérel minden számítógépre bejelentkezni, amelyik a helyi hálózatban található; ehhez az Administrator felhasználónevet és a következő jelszavakat használja:
Guest
Administrator
zxcv
yxcv
xxx
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
88888888
2600
2003
2002
123asd
123abc
123456789
1234567
123123
121212
11111111
110
007
00000000
000000
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123
– amennyiben sikeresen be tudott jelentkezni, felmásolja magát a következőképp: //[távoli számítógép neve]/admin$/system32/TelePhone.exe; majd NetWork Associates Inc. néven, service-ként futtatja ezt az állományt
– az Outlook Inboxában levő levelekre válaszol
– megfertőzi az EXE file-okat a féreg eredetijének az állományokhoz való hozzáfűzésével



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés