W32/Lovgate.ab@MM | ウイルス情報

製品情報

導入事例

-	最新ウイルス一覧
-	ウイルス検索
-	駆除ツール
-	主要ウイルスナビゲータ
-	Daily DATリリースに関するFAQ
-	ウイルス絵とき理解
-	ウイルス画像事典
-	ウイルス解析依頼
-	ウイルス用語集
-	ウイルスの危険度格付け
-	セキュリティ対策のヒント
-	無料セキュリティ情報サービス

Home → セキュリティ情報 → ウイルス情報：L

ウイルス情報

ウイルス名

危険度

W32/Lovgate.ab@MM

企業ユーザ: 中
個人ユーザ: 中

種別	ウイルス
最小定義ファイル (最初に検出を確認したバージョン)	4361
対応定義ファイル (現在必要とされるバージョン)	4374　（現在7077)
対応エンジン	4.2.40以降　(現在5.4.00)　エンジンバージョンの見分け方
別名	W32/Lovgate.ab@MM!zip Win32.HLLM.Lovgate.8 (Dialogue Science) Win32.Lovgate.AF (CA VET)
情報掲載日	04/05/17
発見日（米国日付）	04/05/14
駆除補足	ウイルス駆除のヒント


	最新ウイルス

05/15	ZeroAccess!5...
05/15	VBS/LoveLett...
05/15	RDN/Generic ...

		定義ファイル・エンジンのダウンロード!
	定義ファイル：7077 エンジン：5.4.00

		ウイルス検索

ウイルスの特徴

TOPに戻る

■2004年5月19日更新情報

このウィルスの感染が増加しているため、危険度を「中」に引き上げました。

W32/Lovgateウイルスの再圧縮された亜種が発見されました。このウイルスは機能的には下記のようにこれまでの亜種と同じですが、サイズは108,544バイトです。

W32/Lovgate.ab@MMがドロップするバックドアコンポーネントは、すでに4339ウイルス定義ファイルでBackDoor-AQJ として検出されています。

・W32/Lovgate.ab@MMは複数回圧縮されています。

プロアクティブな検出
・ウイルス定義ファイル4339でBackDoor-AQJとして検出されるバックドアコンポーネント（同一ファイルの複数のコピー）をドロップ（作成）します。

・これまでの亜種と同様、W32/Lovgate.ab@MMには以下の特徴があります。

バックドアコンポーネントをドロップ（作成）
セキュリティが不十分なリモート共有に自身をコピーし、連続したIPの範囲をスキャンし、アクセス可能なIPC$共有、またはADMIN$共有を検索
ターゲットマシンに共有ファイル（ファイル名"MEDIA"）を作成
自身のSMTPエンジンを使用して、メッセージを作成し、自身を送信。電子メールの添付ファイルはZIP圧縮ファイルの可能性があり、ターゲットマシンで見つかった電子メールへの返信メールを送信の可能性がある（MAPI）
EXEファイルへのコンパニオンウイルス感染（元のファイルを自身のコピーに置き換えるが、元のファイルの拡張子は.ZMXに残る）を実行
さまざまなウイルス対策、セキュリティ製品に関連するプロセスを終了

以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る
・W32/Lovgate.ab@MMが実行されると、システムにさまざまなファイルをドロップ（作成）します。以下のファイルは、W32/Lovgate.ab@MMのコピーです（118,272バイト）。

%SysDir%\IEXPLORE.EXE

%SysDir%\KERNEL66.DLL

%SysDir%\RAVMOND.exe

%WinDir%\SYSTRA.EXE

C:\COMMAND.EXE

・Windowsの自動実行機能によってCOMMAND.EXEを実行するように作成されたAUTORUN.INFファイルもすべてのドライブのルートディレクトリにドロップされます。
・以下のDLLファイル（すべて同一のファイル）もドロップ（作成）します。このファイルはリモートアクセスコンポーネントで、ウイルス定義ファイル4339以降でBackDoor-AQJとして検出されます。

%SysDir%\MSJDBC11.DLL

%SysDir%\MSSIGN30.DLL

%SysDir%\ODBC16.DLL

%SysDir%\LMMIB20.DLL

・ZIP圧縮形式のW32/Lovgate.ab@MMのコピー（.ZIPまたは.RARという拡張子を持つ可能性あり）もローカルドライブおよびマップされたドライブのルートディレクトリにドロップ（作成）される可能性があります。この圧縮ファイルにはW32/Lovgate.ab@MMのコピーが格納されており、COM、EXE、PIF、SCRの拡張子を持ちます。圧縮ファイルには以下を含むさまざまなファイル名が付けられます。

password

email

book

letter

bak

work

Important

・システムの起動時にW32/Lovgate.ab@MMを実行するために、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows "run" = RAVMOND.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Program In Windows" = %SysDir%\IEXPLORE.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices "SystemTra" = %WinDir%\SYSTRA.EXE

・以下のレジストリキーも追加して、システムの起動時にバックドアコンポーネントを実行します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "VFW Encoder/Decoder Settings" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Protected Storage" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg

・ターゲットマシンにサービスとしてバックドアコンポーネントをインストールします。特徴は以下のとおりです。
サービス1
表示名：_reg
イメージへのパス：Rundll32.exe msjdbc11.dll ondll_server
起動：自動
サービス2
表示名：Windows Management Protocol v.0 (experimental)
説明：Windows Advanced Server（LANguardのスケジュールスキャンを実行）
イメージへのパス：Rundll32.exe msjdbc11.dll ondll_server
起動：自動
・以下のレジストリキーにサービス情報を格納します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Protocol v.0 (experimental)

プロセスの終了
・W32/Lovgate.ab@MMは以下のいずれかの文字列を含む実行中のプロセスを終了します。

rising

SkyNet

Symantec

McAfee

Gate

Rfw.exe

RavMon.exe

kill

NAV

Duba

KAV

KV

感染方法 TOPへ戻る
電子メールを介した繁殖
・W32/Lovgate.ab@MMは、自身のSMTPエンジンを使用してメッセージを作成する方法と、MAPIを使用してローカルシステム上のメッセージに返信する方法の2通りで自身を送信します。
・自身のSMTPエンジンを使用してメッセージを作成する場合は、ターゲットマシンのファイルからターゲットになるメールアドレスを収集します。ただし、特定の文字列を含むアドレスには自身を送信しません。
・収集した電子メールアドレス、またはランダムな文字列や以下の名前にドメインを付け加えて作成したアドレスで、差出人のアドレスを偽装します。

sandra

linda

julie

jimmy

jerry

helen

debby

claudia

brenda

anna

alice

brent

adam

ted

fred

jack

bill

stan

smith

steve

matt

dave

dan

joe

jane

bob

robert

peter

tom

ray

mary

serg

brian

jim

maria

leo

jose

andrew

sam

george

david

kevin

mike

james

michael

alex

john

・さまざまな件名や本文を使用します。添付ファイルは以下のとおりです。
添付ファイル：以下の拡張子を持つファイルを添付

EXE

SCR

PIF

CMD

BAT

・また、RARまたはZIPという拡張子を持つZIP圧縮ファイルにW32/Lovgate.ab@MMのコピーが格納されている可能性もあります。この場合、間に多くのスペースをはさんだ拡張子が2つ付けられていることがあります（例：.HTM .EXE）。
・DNSクエリを実行して、メッセージの送信に利用できるSMTPサーバを検索します。その際、ターゲットの電子メールアドレスのドメインの前に以下を追加します。

gate.

ns.

relay.

mail1.

mxs.

mx1.

smtp.

mail.

mx.

・さらに、W32/Logvate.ab@MMはMicrosoft OutlookおよびOutlook Expressの受信トレイの未読メッセージにも返信できます（MAPIを使用）。返信後、メッセージを削除します。メッセージのフォーマットは以下のとおりです。
件名：Re:（オリジナルメッセージの件名）
添付ファイル：（以下のいずれか）

the hardcore game-.pif

Sex in Office.rm.scr

Deutsch BloodPatch!.exe

s3msong.MP3.pif

Me_nude.AVI.pif

How to Crack all gamez.exe

Macromedia Flash.scr

SETUP.EXE

Shakira.zip.exe

dreamweaver MX (crack).exe

StarWars2 - CloneAttack.rm.scr

Industry Giant II.exe

DSL Modem Uncapper.rar.exe

joke.pif

Britney spears nude.exe.txt.exe

I am For u.doc.exe

ピアツーピア/フォルダを介した繁殖
・W32/Lovgate.ab@MMは、以下のファイル名を使用しているディレクトリに自身をコピーします（KaZaaとLimewireのようなピアツーピアアプリケーションは共有フォルダとして以下のようなファイル名でフォルダを使用している可能性があり、ウイルスをほかのディレクトリにアクセス可能にさせてしまう場合があります）。

Thank you.doc.exe
3D Flash Animator.rar.bat
SWF Browser2.93.txt.exe
Download.exe
Panda Crack.zip.exe
WinRAR V3.2.0 Beta 2.exe
Swish2.00.pif
AAdobe Photoshop7.0 creak.pif
You_Life.JPG.pif
CloneCD crack.exe
WinZip v9.0 Beta Build 5480 crack.exe
Real-DRAW PRO v3.10.exe
Star Wars Downloader.exe
HyperSnap-DX v5.20.01.exe
Adobe Photoshop6.0.zip.exe
HyperSnap-DX v4.51.01.exe
ネットワークを介した繁殖
・W32/Lovgate.ab@MMは、特定のユーザ名およびパスワードを使用して、リモート共有（IPC$、ADMIN$）に接続しようとします。・リモート共有にW32/Lovgate.x@MMのコピーを作成すると、自身をリモート実行します。以下のように自身をコピーします。

ADMIN$\SYSTEM32\NETMANAGER.EXE

・そして、サービスとして自身をリモート実行します。このサービスの特徴は、以下のとおりです。
表示名：Windows Management NetWork Service Extensions
イメージへのパス：NetManager.exe -exe_start
起動：自動
コンパニオンウイルス感染
・W32/Lovgate.ab@MMはマップされたネットワークドライブ上のEXEファイルを自身のコピーに置き換え、元のファイルの拡張子を.ZMXに変更します。

駆除方法 TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

■Stinger
駆除ツールStingerがW32/Lovgateに対応しています。ダウンロードはこちら

McAfee for Small Businesses

Navigation

Utility Navigation

Footer