ウイルス情報

ウイルス名 危険度

W32/Lovgate.a@M

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4248
対応定義ファイル
(現在必要とされるバージョン)
4376 (現在7628)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32/Lovgate.b1
亜種 W32/Lovgate.b@M: W32/Lovgate.d@M
情報掲載日 03/02/25
発見日(米国日付) 03/02/19
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Lovgate.a@M(SMTPエンジンを内蔵)は電子メールを介して繁殖し、ネットワーク共有内に自身をコピーします。さらにバックドアコンポーネントをドロップ(作成)することがあります(感染マシンのポート10168が開かれます)。

・実行すると、自身を以下のようなファイル名で%System%フォルダにコピーします。

  • WinGate.exe
  • rpcsrv.exe
  • syshelp.exe
  • winrpc.exe
  • WinRpcsrv.exe
  • ・バックドアコンポーネントは、以下のような様々なファイル名で何度も%System%ディレクトリに落とし込まれることがあります。

  • 1.dll
  • reg.dll
  • ily.dll
  • task.dll
  • ・この動作は、テスト時にはWindows NT/2000システムにだけ見られました。ファイルの大きさは77,824バイトでした。

    (注意:%System% はウィンドウズシステムフォルダです。Windows 9x/MEではC:\Windows\System、Windows NT/2000ではC:\WINNT\System32、Windows XPではC:\Windows\System32)

    ・以下のレジストリキーが追加されシステムの起動をフックします。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "syshelp" = C:\WINDOWS\SYSTEM\syshelp.exe

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"WinGate initialize" = C:\WINDOWS\SYSTEM\WinGate.exe -remoteshell

    ・同様にバックドアコンポーネント用にもレジストリキーが追加され、システムの起動がフックされます。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Module Call initialize" = RUNDLL32.EXE reg.dll ondll_reg

    ・以下のレジストリキーがテキストファイルの実行をフックするために改変されます。

    HKEY_CLASSES_ROOT\txtfile\shell\open\command(Default) = "winrpc.exe %1"

    ・Windows NT/2000で実行された場合、ワームは'Window Remote Service'(WINRPCSRV.EXEというファイル名のワームのコピーを起動するように設定する)という表示名でサービスとして自身をインストールします。落とし込まれたバックドアコンポーネント(TASK.DLL)は2つのサービスとして、以下の表示名でインストールされます。

    1. dll_reg
    2. Windows Management Extension

    ・また、ワームは以下のように’Run’コマンドを追加してWIN.INIファイルを改変します。

    [windows]
    run=rpcsrv.exe

    メーリングコンポーネント

    ・このワームは自身のSMTPエンジンを利用して、ユーザの受信トレイ内のすべての新着メールに対して返信することが可能です。また、自身を以下に記載するようなファイルとしてメールに添付します。このような繁殖方法は'@M' サフィックスを反映しており、一般的な大量メール送信ウイルスよりも繁殖のスピードは遅いです。

    ・受信トレイに差出人が'???@wherever.com' からのメッセージがある場合、ワームは以下のように返信します。
    Wherever.com account auto-reply:

    ' I'll try to reply as soon as possible.
    Take a look at the attachment and send me your opinion!'

    >Get your Free wherever.com account now! <

    ワームコンポーネント

    ・W32/Lovgate.a@Mは、共有ネットワークを介しても繁殖します。共有フォルダ(サブフォルダも含む)を検索して、以下のファイル名で自身をコピーします。

  • fun.exe
  • humor.exe
  • docs.exe
  • s3msong.exe
  • midsong.exe
  • billgt.exe
  • Card.EXE
  • SETUP.EXE
  • searchURL.exe
  • tamagotxi.exe
  • hamster.exe
  • news_doc.exe
  • PsPGame.exe
  • joke.exe
  • images.exe
  • pics.exe
  • バックドアコンポーネント

    ・ワームはトロイの木馬コンポーネントをドロップ(作成)することがあります。このトロイの木馬コンポーネントは、4249DATファイル以降でBackdoor-AQJとして検出されます。

    ・ターゲットマシンのポート10168を開いて、電子メールでターゲットマシンの感染をハッカーに通知します。以下のアドレスは受信者情報です。

    hacker117@163.com

    ・感染マシンに関する情報も同様にハッカーに送信されます。この情報はシステム情報を含む場合もあります。

    TOPへ戻る

    以下の症状が見られる場合、このウイルスに感染している可能性があります。

    ・上記のレジストリキー値が存在します。

    ・上記のファイルが存在します。

    ・ターゲットマシンでポート10168が開いています。

    TOPへ戻る

    感染方法

    ・W32/Lovgate.a@Mは、電子メールおよびネットワーク共有を経由して繁殖します。開いている共有フォルダ/サブフォルダに自身をコピーし、受信トレイ内のメッセージに対して返信します。

    TOPへ戻る

    駆除方法

    ・本ページ上部に記載されている検出エンジンとウイルス定義ファイルを使用いただければ、このウイルスを検出、駆除できます。

    ・このウイルスは、システムスタートアップをフックする為に、システムレジストリおよびINIファイルに改変を加えますが、これについても指定のエンジンと定義ファイルを使えば修復されます。

    ・1.DLLファイルはLSASS.EXEプロセスに挿入されており、このことが1.DLLのファイル削除を妨げています。このファイルはBackDoor-AQJとして検出されますが、完全に駆除する為には再起動が必要となります。

    ・なお、スティンガーを使うと再起動する必要なしに、W32/Lovgate@MとBackDoor-AQJを完全に駆除することが出来ます。

    ・Windows ME/XP用の駆除ヒントはこちらをご覧ください。

    TOPへ戻る



    亜種情報

    亜種名 タイプ サブタイプ 補足
    W32/Lovgate.b@M ウイルス ワーム ファイルサイズ:84,992 バイト
    W32/Lovgate.d@M ウイルス ワーム ファイルサイズ:41,984 バイト