製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:L
ウイルス情報
ウイルス名危険度
W32/Lovgate.a@M
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)		4248
対応定義ファイル
(現在必要とされるバージョン)		4376 (現在7084)
対応エンジン4.1.60以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名W32/Lovgate.b1
亜種W32/Lovgate.b@M: W32/Lovgate.d@M
情報掲載日03/02/25
発見日(米国日付)03/02/19
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/22W32/Virut.ge...
05/22W32/Duel!962...
05/22W32/Duel!EC1...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7084
 エンジン:5.4.00
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Lovgate.a@M(SMTPエンジンを内蔵)は電子メールを介して繁殖し、ネットワーク共有内に自身をコピーします。さらにバックドアコンポーネントをドロップ(作成)することがあります(感染マシンのポート10168が開かれます)。

・実行すると、自身を以下のようなファイル名で%System%フォルダにコピーします。

  • WinGate.exe
  • rpcsrv.exe
  • syshelp.exe
  • winrpc.exe
  • WinRpcsrv.exe

    • ・バックドアコンポーネントは、以下のような様々なファイル名で何度も%System%ディレクトリに落とし込まれることがあります。

  • 1.dll
  • reg.dll
  • ily.dll
  • task.dll

    • ・この動作は、テスト時にはWindows NT/2000システムにだけ見られました。ファイルの大きさは77,824バイトでした。

    (注意:%System% はウィンドウズシステムフォルダです。Windows 9x/MEではC:\Windows\System、Windows NT/2000ではC:\WINNT\System32、Windows XPではC:\Windows\System32)

    ・以下のレジストリキーが追加されシステムの起動をフックします。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "syshelp" = C:\WINDOWS\SYSTEM\syshelp.exe

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"WinGate initialize" = C:\WINDOWS\SYSTEM\WinGate.exe -remoteshell

    ・同様にバックドアコンポーネント用にもレジストリキーが追加され、システムの起動がフックされます。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Module Call initialize" = RUNDLL32.EXE reg.dll ondll_reg

    ・以下のレジストリキーがテキストファイルの実行をフックするために改変されます。

    HKEY_CLASSES_ROOT\txtfile\shell\open\command(Default) = "winrpc.exe %1"

    ・Windows NT/2000で実行された場合、ワームは'Window Remote Service'(WINRPCSRV.EXEというファイル名のワームのコピーを起動するように設定する)という表示名でサービスとして自身をインストールします。落とし込まれたバックドアコンポーネント(TASK.DLL)は2つのサービスとして、以下の表示名でインストールされます。

    1. dll_reg
    2. Windows Management Extension

    ・また、ワームは以下のように’Run’コマンドを追加してWIN.INIファイルを改変します。

    [windows]
    run=rpcsrv.exe

    メーリングコンポーネント

    ・このワームは自身のSMTPエンジンを利用して、ユーザの受信トレイ内のすべての新着メールに対して返信することが可能です。また、自身を以下に記載するようなファイルとしてメールに添付します。このような繁殖方法は'@M' サフィックスを反映しており、一般的な大量メール送信ウイルスよりも繁殖のスピードは遅いです。

    ・受信トレイに差出人が'???@wherever.com' からのメッセージがある場合、ワームは以下のように返信します。
    Wherever.com account auto-reply:

    ' I'll try to reply as soon as possible.
    Take a look at the attachment and send me your opinion!'

    >Get your Free wherever.com account now! <

    ワームコンポーネント

    ・W32/Lovgate.a@Mは、共有ネットワークを介しても繁殖します。共有フォルダ(サブフォルダも含む)を検索して、以下のファイル名で自身をコピーします。

  • fun.exe
  • humor.exe
  • docs.exe
  • s3msong.exe
  • midsong.exe
  • billgt.exe
  • Card.EXE
  • SETUP.EXE
  • searchURL.exe
  • tamagotxi.exe
  • hamster.exe
  • news_doc.exe
  • PsPGame.exe
  • joke.exe
  • images.exe
  • pics.exe

    • バックドアコンポーネント

    ・ワームはトロイの木馬コンポーネントをドロップ(作成)することがあります。このトロイの木馬コンポーネントは、4249DATファイル以降でBackdoor-AQJとして検出されます。

    ・ターゲットマシンのポート10168を開いて、電子メールでターゲットマシンの感染をハッカーに通知します。以下のアドレスは受信者情報です。

    hacker117@163.com

    ・感染マシンに関する情報も同様にハッカーに送信されます。この情報はシステム情報を含む場合もあります。

    以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

    ・上記のレジストリキー値が存在します。

    ・上記のファイルが存在します。

    ・ターゲットマシンでポート10168が開いています。

    感染方法TOPへ戻る

    ・W32/Lovgate.a@Mは、電子メールおよびネットワーク共有を経由して繁殖します。開いている共有フォルダ/サブフォルダに自身をコピーし、受信トレイ内のメッセージに対して返信します。

    駆除方法TOPへ戻る

    ・本ページ上部に記載されている検出エンジンとウイルス定義ファイルを使用いただければ、このウイルスを検出、駆除できます。

    ・このウイルスは、システムスタートアップをフックする為に、システムレジストリおよびINIファイルに改変を加えますが、これについても指定のエンジンと定義ファイルを使えば修復されます。

    ・1.DLLファイルはLSASS.EXEプロセスに挿入されており、このことが1.DLLのファイル削除を妨げています。このファイルはBackDoor-AQJとして検出されますが、完全に駆除する為には再起動が必要となります。

    ・なお、スティンガーを使うと再起動する必要なしに、W32/Lovgate@MとBackDoor-AQJを完全に駆除することが出来ます。

    ・Windows ME/XP用の駆除ヒントはこちらをご覧ください。



    亜種情報

    亜種名 タイプ サブタイプ 補足
    W32/Lovgate.b@M ウイルス ワーム ファイルサイズ:84,992 バイト
    W32/Lovgate.d@M ウイルス ワーム ファイルサイズ:41,984 バイト