Futtatható állományokat fertőz a legújabb Lovgate féreg

A fertőzött e-mail jellemzői

A bejövő e-mailekre érkező válasz:
Tárgy: Re: [az eredeti levél tárgya]

Tartalom:
´[feladó]´ wrote:
====
> [az eredeti üzenet tartalma]
====

[küldő domainje] account auto-reply:

… … more details,look to the attachment.

> Get your FREE [küldő domainje] account now! < Csatolmány: a következők valamelyike:
. MacroMedia.pif
. Butterfly Garden.scr
. Matrix Reloaded 3D.exe
. s3msong.MP3.pif
. MyIE.AVI.pif
. WindowsXP Creak.exe
. Macromedia Flash.scr
. Photoshop.EXE
. Shakira.zip.exe
. dreamweaver MX (crack).exe
. StarWars2 – CloneAttack.rm.scr
. Industry Giant II.exe
. HyperSnap-DX v5.rar.exe
. joke.exe
. MSN Messenger.exe
. FlashFXP.exe

Az összegyűjtött címekre elküldött levél
Tárgy: a következők egyike:
. Delivery Status Notification (Delay)
. Error
. Hi
. Mail Transaction Failed
. Test
. [üres]

Tartalom: az alábbiak közül egy:
. Delivery to the following recipient has failed:
. It´s the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
. Mail failed. For further assistance, Please contact!
. THIS IS A WARNING MESSAGE ONLY.
. The message contains Uniocode characters and has been sent as a binary attachment.
. This is an automatically generated Delivery Status Notification
. YOU DO NOT NEED TO RESEND YOUR MESSAGE.
. [üres]

Csatolmány: a következők egyike, .bat, .cmd, .com, .exe, .pif vagy .scr kiterjesztéssel:
. Body
. Doc
. Document
. File
. Message
. Readme
. Test
. Text
. data
. [véletlenszerűen választott szöveg]

A féreg paraméterei

Felfedezésének ideje: 2004. augusztus 25.
Utolsó frissítés ideje: 2004. augusztus 26.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a JAVA nevű hálózati megosztást, mely a Windows könyvtár JAVA mappájára mutat
– felmásolja magát minden hálózati megosztásba, amibe tudja, a következő nevek valamelyikén:
. WinGate V5.0.10 Build.exe
. WINISO 5.3.exe
. Winamp skin_FinalFantasy.exe
. i386.exe
. Serv-U FTP Server 4.1.exe
. Daemon Tools v3.41.exe
. autoexec.bat
. Windows 2000 sp4.ZIP.exe
. Flash2X Flash Hunter v1.1.2.pif
. Minilyrics_Std_2.7.233.pif
. Support Tools.exe
. Windows Media Player.zip.exe
. Microsoft Office.exe
. eMule-0.42e-VeryCD0407Install.exe
. FoxMail V5.0.500.0.exe
. EnterNet 500 V1.5 RC1.exe
– létrehozza a Windows könyvtárban az Office.exe és a Video.EXE állományokat
– létrehozza a System könyvtárban a következő file-okat:
. hxdef.exe
. iexplore.exe
. iexplorer.exe
. real.exe
. TkBellExe.exe
. Update_OB.exe
. kernel66.dll (rejtett állomány)
– létrehozza a következő file-okat ugyanitt: ODBC16.dll, msjdbc11.dll, MSSIGN30.DLL, Lmmib20.dll
– létrehozza az upDate.exe állományt az összes helyi meghajtó gyökérkönyvtárában, kivéve természetesen az optikai meghajtójat; a file attributumai: rendszer, rejtett és csak olvasható
– létrehozza a WinPatch.dll állományt a System mappában
– létrehozza és elindítja a következő service-okat: _reg, Windows Management Protocol v.0(experimental)
– felülírja az autorun.inf állományt a fenti meghajtókon a következővel:
[AUTORUN]
Open=˝C:/upDate.exe˝ /StartExplorer
– létrehoz egy archív (RAR) állományt önmagáról, minden írható meghajtón, kivéve az A és B drive-okat; a file neve Bakeup, ghost vagy email lehet
– annak érdekében, hogy minden rendszerinduláskor betöltésre kerüljön, létrehozza a következő Registry bejegyzéseket a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run kulcsban:
. ˝Microsoft Inc.˝=˝iexplorer.exe…˝
. ˝Program In Windows˝=˝[System elérési útvonala]/IEXPLORE.EXE˝
. ˝Protected Storage˝=˝RUNDLL32.EXE MSSIGN30.DLL ondll_reg…˝
. ˝VFW Encoder/Decoder Settings˝=˝RUNDLL32.EXE MSSIGN30.DLL ondll_reg…˝
. ˝WinHelp˝=˝[System elérési útvonala]/TkBellExe.exe…˝
– létrehozza az alábbi bejegyzéseket a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices kulcsban:
. ˝Installed shell32.dll˝=˝Office.exe…˝
. ˝SystemTra˝=˝C:/WINDOWS/Video.EXE˝
. ˝Soft Profile Inc˝=˝[System elérési útvonala]/hxdef.exe…˝
– hozzáadja a HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows Registry kulcshoz a ˝run˝=˝real.exe˝ bejegyzést, a HKEY_CLASSES_ROOT/txtfile/shell/open/command kulcshoz pedig a (Default) = ˝Update_OB.exe %1…˝ bejegyzést
– leállítja a következő process-eket:
. Rising Realtime Monitor Service
. Symantec AntiVirus Server
. Symantec AntiVirus Client
– leállítja az összes olyan futó process-t, amely a következő sztringek bármelyikét is tartalmazza: Duba, NAV, kill, RavMon.exe, Rfw.exe, Gate, McAfee, Symantec, SkyNet, rising
– végrehajtási szálként bevisz egy process-figyelő rutint az Explorer.ex vagy Taskmgr.exe állományokba, amely képes újraindítani a férget, ha annak valamilyen okból leállt a működése
– a 6060-as porton keresztül futtatja backdoor rutinját, mely ellopja a kiszolgáltatott rendszer információit és a C meghajtó gyökerében levő Netlog.txt állományban tárolja, majd e-mailben továbbítja alkotójának
– megkeresi a Kazaa megosztott könyvtárát, és felmásolja magát oda különböző figyelemfelkeltő neveken
– megkísérel minden számítógépre bejelentkezni, amelyik a helyi hálózatban található; ehhez az Administrator felhasználónevet és a következő jelszavakat használja:
Guest
Administrator
zxcv
yxcv
xxx
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
88888888
2600
2003
2002
123asd
123abc
123456789
1234567
123123
121212
11111111
110
007
00000000
000000
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123
– amennyiben sikeresen be tudott jelentkezni, felmásolja magát a következőképp: //[távoli számítógép neve]/admin$/system32/TelePhone.exe; majd NetWork Associates Inc. néven, service-ként futtatja ezt az állományt
– az Outlook Inboxában levő levelekre válaszol, majd a megszerzett e-mailcímekre is továbbítja magát
– megfertőzi az EXE file-okat a féreg eredetijének az állományokhoz való hozzáfűzésével