W32.HLLW.Lovgate.C@mm: un worm anche per le LAN

[amvinfe]

W32.HLLW.Lovgate.C@mm


Livello 3 di attenzione (Sarc)

E’ un worm che installa una backdoor aprendo la porta 10168 TCP sul computer infetto, ha un suo motore SMTP per potersi allegare e spedirsi a tutti i contatti presenti nella rubrica.
Se infetta una macchina in una LAN, genera copie di files infetti negli indici e nelle subdirectories comuni della rete, rendendo la macchina accessibile da remoto.
Come scritto si propaga via mail o la condivisione di files in una LAN, le maggiori infezioni fino ad ora, si sono avute in TAIWAN, AUSTRALIA, FRANCIA e soprattutto in GIAPPONE.

Arriva via mail con il seguente OGGETTO, ALLEGATO, TESTO:

Oggetto: Documents
Allegato: Docs.exe
Testo: Send me your comments...



Oggetto: Roms
Allegato: Roms.exe
Testo: Test this ROM! IT ROCKS!.


Oggetto: Pr0n!
Allegato: Sex.exe
Testo: Adult content!!! Use with parental advisory.



Oggetto: Evaluation copy
Allegato: Setup.exe
Testo: Test it 30 days for free.



Oggetto: Help
Allegato: Source.exe
Testo: I'm going crazy... please try to find the bug!



Oggetto: Beta
Allegato: _SetupB.exe
Testo: Send reply if you want to be official beta tester.



Oggetto: Do not release
Allegato: Pack.exe
Testo: This is the pack ;)



Oggetto: Last Update
Allegato: LUPdate.exe
Testo: This is the last cumulative update.



Oggetto: The patch
Allegato: Patch.exe
Testo: I think all will work fine.



Oggetto: Cracks!
Allegato: CrkList.exe
Testo: Check our list and mail your requests!



Una volta che la macchina è infetta copia in System (C:\Windows\System su Windows 9x e ME, C:\WINNT\System32 su Windows NT e 2000, oppure C:\Windows\System32 su Windows XP.) i seguenti files:

WinRpcsrv.exe
syshelp.exe
winrpc.exe
WinGate.exe
rpcsrv.exe

Sui S.O. Win 95. 98 e Me aggiunge la stringa Run=rpcsvr.exe in [Windows] di WIN.INI
Nei S.O. NT 4.0, 2000, e XP copia i files:
Ily.dll
reg.dll
task.dll
1.dll
In
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
copia le seguenti strigne: syshelp %system%\syshelp.exe
WinGate initialize %system%\WinGate.exe -remoteshell
Module Call initialize RUNDLL32.EXE reg.dll ondll_reg
Modifica il valore Predefinito di HKEY_CLASS_ROOT\txtfile\shell\open\command aggiungedo winrpc.exe %1
In una LAN copia I seguenti files
fun.exe
humor.exe
docs.exe
s3msong.exe
midsong.exe
billgt.exe
Card.EXE
SETUP.EXE
searchURL.exe
tamagotxi.exe
hamster.exe
news_doc.exe
PsPGame.exe
joke.exe
images.exe
pics.exe

Per ulteriori Info:

http://securityresponse.symantec.com/av ... .c@mm.html


http://www.trendmicro.com/vinfo/virusen ... _LOVGATE.C


Marco(amvinfe)

[amvinfe]

Rilasciato il fix_tool

http://securityresponse.symantec.com/av ... xLGate.exe