製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:L
ウイルス情報
ウイルス名危険度
W32/Lovgate.l@M
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4266
対応定義ファイル
(現在必要とされるバージョン)
4376 (現在7568)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/05/15
発見日(米国日付)03/05/14
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/20Generic Back...
09/20GenericR-CBX...
09/20RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7568
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

--6月2日更新情報--
AVERTはW32/Lovgate.l@Mの新しいサンプルを入手しましたので、定義ファイル4269からこのウイルスをW32/Lovgate.l@Mとして検出可能になります。
注:バックドアコンポーネントはBackDoor-AQJとして、寄生的に感染したファイルはW32/Lovgate.l@Mとして、指定の定義ファイル(もしくはそれ以降)によってすでに検出(及び駆除)されています。


・W32/Lovgate.l@Mは新しいW32/Lovgateの亜種で、これまでに発見された亜種のように以下の発病ルーチンがあります。

  • ネットワーク共有上に自身をコピーする。
  • Microsoft OutlookおよびOutlook Expressの受信トレイにある未読メッセージに対する返信メールで自身を送信する。
  • バックドアコンポーネント(BackDoor-AQJとして検出)をドロップ(作成)する。
  • 感染マシンのPEファイルに、スタブと自身の複製を追加して寄生的に感染を広める。
  • 感染マシンに共有を作成する。

・W32/Lovgate.l@Mは、ターゲットマシン(およびネットワーク共有)上の実行ファイルにも感染します。また、実行中のプロセスが以下の文字列を含んでいないかを検索し、該当するプロセスを終了させます。

  • RISING
  • SKYNET
  • SYMANTEC
  • MCAFEE
  • GATE
  • RFW.EXE
  • RAVMON.EXE
  • KILL
  • NAV
  • DUBA
  • KAV
  • KV

・テストでは、W32/Lovgate.l@MはWindows NT/2000システム上だけで機能しました。

電子メールによる繁殖

・W32/Lovgate.l@Mは、Microsoft OutlookおよびOutlook Expressの受信トレイにある未読メッセージに対して返信し、未読メッセージを削除します。

・W32/Lovgate.f@Mと同様に、以下のような電子メールメッセージを送信します。

件名:Re: Original subject
本文:

======
original message body
======
sender's domain account auto-reply:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
> Get your FREE sender's domain now! <

添付ファイル:(以下のいずれか)

  • Britney spears nude.exe.txt.exe
  • Deutsch BloodPatch!.exe
  • dreamweaver MX (crack).exe
  • DSL Modem Uncapper.rar.exe
  • How to Crack all gamez.exe
  • I am For u.doc.exe
  • Industry Giant II.exe
  • joke.pif
  • Macromedia Flash.scr
  • Me_nude.AVI.pif
  • s3msong.MP3.pif
  • SETUP.EXE
  • Sex in Office.rm.scr
  • Shakira.zip.exe
  • StarWars2 - CloneAttack.rm.scr
  • the hardcore game-.pif

・また、感染システムにある*.HT*文書内のMAILTOリンクから電子メールアドレスを収集して、以下のような電子メールメッセージを送信します。

件名:Reply to this!
本文:For further assistance, please contact!
添付ファイル: About_Me.txt.pif

または

件名:Let's Laugh
本文:Copy of your message, including all the headers is attached.
添付ファイル: driver.exe

または

件名:Last Update
本文:This is the last cumulative update.
添付ファイル: Doom3 Preview!!!.exe

または

件名:For you
本文:Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
添付ファイル: enjoy.exe

または

件名:Great
本文:Send reply if you want to be official beta tester.
添付ファイル: YOU_are_FAT!.TXT.pif

または

件名:Help
本文:This message was created automatically by mail delivery software (Exim).
添付ファイル: Source.exe

または

件名:Attached one Gift for u..
本文:It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
添付ファイル: nteresting.exe

または

件名:Hi Dear
本文:Adult content!!! Use with parental advisory.
添付ファイル: README.TXT.pif

または

件名:Hi
本文:Patrick Ewing will give Knick fans something to cheer about Friday night.
添付ファイル: images.pif

または

件名:See the attachement
本文:Send me your comments...
添付ファイル: Pics.ZIP.scr

インストール

・W32/Lovgate.l@Mが実行されると、ターゲットマシンに以下の複数のファイル(自身のコピーも複数含みます)を落とし込みます。

  • c:\WINNT\DRWTSN16.EXE:感染スタブ、49,152バイト
  • c:\WINNT\system32\IEXPLORE.EXE:ワームのコピー、151,480バイト
  • c:\WINNT\system32\RAVMOND.exe:ワームのコピー、151,480バイト
  • c:\WINNT\system32\WinDriver.exe:ワームのコピー、151,480バイト
  • c:\WINNT\system32\WinGate.exe:ワームのコピー、151,480バイト
  • c:\WINNT\system32\kernel66.dll:ワームのコピー、151,480バイト
  • c:\WINNT\system32\winexe.exe:ワームのコピー、151,480バイト
  • c:\WINNT\system32\winrpc.exe:ワームのコピー、151,480バイト
  • c:\WINNT\system32\winhelp.exe:ワームのコピー、151,480バイト
  • c:\WINNT\system32\Task688.dll:落とし込まれたBackDoor-AQJ、59,392バイト
  • c:\WINNT\system32\111.dll:落とし込まれたBackDoor-AQJ、59,392バイト
  • c:\WINNT\system32\ily668.dll:落とし込まれたBackDoor-AQJ、59,392バイト
  • c:\WINNT\system32\reg678.dll:落とし込まれたBackDoor-AQJ、59,392バイト
  • c:\WINNT\system32\win32vxd.dll:落とし込まれたBackDoor-AQJ、32,768バイト

・c:\WINNT\Tempフォルダにも、複数のファイルを落とし込みます。これらのファイル名はランダムな文字を組み合わせたもので、長さもさまざまですが、以下の拡張子を使用します。

  • .rm.exe
  • .htm.exe
  • .dat.exe
  • .mp3.exe
  • .gif.exe
  • .jpg.exe
  • .doc.exe
  • .avi.exe

・C:\WINNT\Tempフォルダにネットワーク共有"GAME"が作成されます。パーミッションは"Everyone-->full control" に設定されます。

・この共有に対応するために以下のレジストリキーが変更されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares
    "GAME" = C:\WINNT\TEMP

・以下のレジストリキーを追加して、システムの起動をフックします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
    "run" = RAVMOND.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "Program In Windows" = C:\WINNT\System32\IEXPLORE.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "Remote Procedure Call Locator" = RUNDLL32.EXE reg678.dll ondll_reg
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "WinGate initialize" = C:\WINNT\System32\WinGate.exe -remoteshell
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "WinHelp" = C:\WINNT\System32\WinHelp.exe

・以下のレジストリキーを改変して、実行ファイルの実行をフックします。

  • HKEY_CLASSES_ROOT\exefile\shell\open\command
    (デフォルト) = C:\WINNT\System32\winexe.exe "%1" %*

・Windows NT/2000システム上で実行されると、自身を2つのサービスとして以下の表示名でインストールします。

  • "Microsoft NetWork FireWall Services"(NETSERVICES.EXEというファイル名のワームのコピーを実行、テストではインストールされませんでした)
  • "Windows Management Instrumentation Driver Extension" (WINDRIVER.EXEというファイル名のワームのコピーを実行

・落とし込まれたバックドアコンポーネントにも、以下の表示名のサービスが追加されます。

  • ll_reg(TASK688.dllファイルを実行)
  • NetMeeting Remote Desktop (RPC) Sharing(TASK688.dllファイルを実行、テストではインストールされませんでした)

・ワーム内の文字列から、(これまでに発見された亜種のように)以下のようなフックを追加してWIN.INIファイルを改変すると考えられます。ただし、テストでは改変されませんでした。

[windows]
run=RAVMOND.exe

寄生による感染

・W32/Lovgate.l@Mは、(ローカルドライブおよびネットワークドライブ上の)PEファイルに寄生して感染します。ファイルの先頭に感染スタブ(DTWTSN16.EXE)を、末尾にワームのコピーを、それぞれ追加します。感染したファイルは、以下のような、3つのファイルによるサンドイッチ状の構造になります。

感染スタブ | オリジナルのPEファイル | ワームのコピー

・感染すると、PEファイルのサイズは200,640バイト増加します。

共有ネットワークによる繁殖

W32/Lovgate.f@Mのように辞書攻撃を仕掛けて、リモートシステム上のIPC$共有にアクセスしようとします。

・以下のパスワードを除いて、W32/Lovgate.f@Mと同じパスワードを使用します。

  • Guest("guest"の代わりに使用)
  • Administrator(追加)

・アクセスに成功すると、アクセス可能なすべての共有に、以下のようなさまざまなファイル名で自身をコピーします。

  • Are you looking for Love.doc.exe
  • autoexec.bat
  • The world of lovers.txt.exe
  • How To Hack Websites.exe
  • Panda Titanium Crack.zip.exe
  • Mafia Trainer!!!.exe
  • 100 free essays school.pif
  • AN-YOU-SUCK-IT.txt.pif
  • Sex_For_You_Life.JPG.pif
  • CloneCD + crack.exe
  • Age of empires 2 crack.exe
  • MoviezChannelsInstaler.exe
  • Star Wars II Movie Full Downloader.exe
  • Winrar + crack.exe
  • SIMS FullDownloader.zip.exe
  • MSN Password Hacker and Stealer.exe

バックドアコンポーネント

・W32/Lovgate.l@Mは、トロイの木馬コンポーネント(BackDoor-AQJとして検出)を落とし込みます。定義ファイル4254-4264では圧縮ファイルの検出を有効にしてスキャンしないと検出されませんが、定義ファイル4264以降では圧縮ファイルの検出を有効にしなくても検出されます。

・W32/Lovgate.l@Mがリモートシェルパラメータで実行されると、バックドアコンポーネントはターゲットマシンのポート20168を開いて、電子メールでターゲットマシンの感染をハッカーに通知します。この通知の受信者として、以下の電子メールアドレスがハードコード化されています。

  • hello_dll@163.com
    (注:他の電子メールアドレスも通知の受信者アドレスに使用されます。アドレスは設定データ内に保存されるので、さまざまなアドレスが使用されます。)

・ 感染システム情報(システムのパスワードなど)もハッカーに送信されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・ターゲットマシンに、上記のファイルが存在します。

・ポート20618が開いています(バックドアコンポーネントのドロッパ)。

・PEファイルのサイズが、(200,640バイト)増加します。

・C:\WINNT\Tempフォルダにネットワーク共有"GAME"が作成されます。

感染方法TOPへ戻る

・W32/Lovgate.l@Mは、電子メールおよび共有ネットワークを介して繁殖します。

駆除方法TOPへ戻る

全ての Windows ユーザー様

  • 検出・駆除には上記に指定したエンジンと定義ファイルをお使い下さい。
  • 完全に駆除するには4.2.40エンジンが必要となります。
  • ウイルスが寄生的に実行ファイルに感染している時は、手動による駆除はむいていません。感染システムを修復するためには以下の方法を取ってください。
    • システムをセーフモードで再起動します。
      (電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
    • ウイルススキャンを実行し、すべての感染ファイルを駆除することを選びます。
    • コンピュータを再起動します。

Windows ME/XPの駆除ヒントこちらをご覧ください。