製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:L
ウイルス情報
ウイルス名危険度
W32/Lovgate.ab@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4361
対応定義ファイル
(現在必要とされるバージョン)
4374 (現在7600)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名W32/Lovgate.ab@MM!zip
Win32.HLLM.Lovgate.8 (Dialogue Science)
Win32.Lovgate.AF (CA VET)
情報掲載日04/05/17
発見日(米国日付)04/05/14
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
■2004年5月19日更新情報

このウィルスの感染が増加しているため、危険度を「中」に引き上げました。

W32/Lovgateウイルスの再圧縮された亜種が発見されました。 このウイルスは機能的には下記のようにこれまでの亜種と同じですが、サイズは108,544バイトです。

W32/Lovgate.ab@MMがドロップするバックドアコンポーネントは、すでに4339ウイルス定義ファイルでBackDoor-AQJ として検出されています。

・W32/Lovgate.ab@MMは複数回圧縮されています。


プロアクティブな検出
・ウイルス定義ファイル4339でBackDoor-AQJとして検出されるバックドアコンポーネント(同一ファイルの複数のコピー)をドロップ(作成)します。
・これまでの亜種と同様、W32/Lovgate.ab@MMには以下の特徴があります。
  • バックドアコンポーネントをドロップ(作成)
  • セキュリティが不十分なリモート共有に自身をコピーし、連続したIPの範囲をスキャンし、アクセス可能なIPC$共有、またはADMIN$共有を検索
  • ターゲットマシンに共有ファイル(ファイル名"MEDIA")を作成
  • 自身のSMTPエンジンを使用して、メッセージを作成し、自身を送信。電子メールの添付ファイルはZIP圧縮ファイルの可能性があり、ターゲットマシンで見つかった電子メールへの返信メールを送信の可能性がある(MAPI)
  • EXEファイルへのコンパニオンウイルス感染(元のファイルを自身のコピーに置き換えるが、元のファイルの拡張子は.ZMXに残る)を実行
  • さまざまなウイルス対策、セキュリティ製品に関連するプロセスを終了

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・W32/Lovgate.ab@MMが実行されると、システムにさまざまなファイルをドロップ(作成)します。以下のファイルは、W32/Lovgate.ab@MMのコピーです(118,272バイト)。
  • %SysDir%\IEXPLORE.EXE
  • %SysDir%\KERNEL66.DLL
  • %SysDir%\RAVMOND.exe
  • %WinDir%\SYSTRA.EXE
  • C:\COMMAND.EXE
・Windowsの自動実行機能によってCOMMAND.EXEを実行するように作成されたAUTORUN.INFファイルもすべてのドライブのルートディレクトリにドロップされます。

・以下のDLLファイル(すべて同一のファイル)もドロップ(作成)します。このファイルはリモートアクセスコンポーネントで、ウイルス定義ファイル4339以降でBackDoor-AQJとして検出されます。

  • %SysDir%\MSJDBC11.DLL
  • %SysDir%\MSSIGN30.DLL
  • %SysDir%\ODBC16.DLL
  • %SysDir%\LMMIB20.DLL
・ZIP圧縮形式のW32/Lovgate.ab@MMのコピー(.ZIPまたは.RARという拡張子を持つ可能性あり)もローカルドライブおよびマップされたドライブのルートディレクトリにドロップ(作成)される可能性があります。この圧縮ファイルにはW32/Lovgate.ab@MMのコピーが格納されており、COM、EXE、PIF、SCRの拡張子を持ちます。圧縮ファイルには以下を含むさまざまなファイル名が付けられます。
  • password
  • email
  • book
  • letter
  • bak
  • work
  • Important
・システムの起動時にW32/Lovgate.ab@MMを実行するために、以下のレジストリキーを追加します。
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows "run" = RAVMOND.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Program In Windows" = %SysDir%\IEXPLORE.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices "SystemTra" = %WinDir%\SYSTRA.EXE
・以下のレジストリキーも追加して、システムの起動時にバックドアコンポーネントを実行します。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "VFW Encoder/Decoder Settings" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Protected Storage" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
・ターゲットマシンにサービスとしてバックドアコンポーネントをインストールします。特徴は以下のとおりです。

サービス1
表示名:_reg
イメージへのパス:Rundll32.exe msjdbc11.dll ondll_server
起動:自動

サービス2
表示名:Windows Management Protocol v.0 (experimental)
説明:Windows Advanced Server(LANguardのスケジュールスキャンを実行)
イメージへのパス:Rundll32.exe msjdbc11.dll ondll_server
起動:自動

・以下のレジストリキーにサービス情報を格納します。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Protocol v.0 (experimental)
プロセスの終了

・W32/Lovgate.ab@MMは以下のいずれかの文字列を含む実行中のプロセスを終了します。

  • rising
  • SkyNet
  • Symantec
  • McAfee
  • Gate
  • Rfw.exe
  • RavMon.exe
  • kill
  • NAV
  • Duba
  • KAV
  • KV

感染方法TOPへ戻る
電子メールを介した繁殖

・W32/Lovgate.ab@MMは、自身のSMTPエンジンを使用してメッセージを作成する方法と、MAPIを使用してローカルシステム上のメッセージに返信する方法の2通りで自身を送信します。

・自身のSMTPエンジンを使用してメッセージを作成する場合は、ターゲットマシンのファイルからターゲットになるメールアドレスを収集します。ただし、特定の文字列を含むアドレスには自身を送信しません。

・収集した電子メールアドレス、またはランダムな文字列や以下の名前にドメインを付け加えて作成したアドレスで、差出人のアドレスを偽装します。

  • sandra
  • linda
  • julie
  • jimmy
  • jerry
  • helen
  • debby
  • claudia
  • brenda
  • anna
  • alice
  • brent
  • adam
  • ted
  • fred
  • jack
  • bill
  • stan
  • smith
  • steve
  • matt
  • dave
  • dan
  • joe
  • jane
  • bob
  • robert
  • peter
  • tom
  • ray
  • mary
  • serg
  • brian
  • jim
  • maria
  • leo
  • jose
  • andrew
  • sam
  • george
  • david
  • kevin
  • mike
  • james
  • michael
  • alex
  • john
・さまざまな件名や本文を使用します。添付ファイルは以下のとおりです。

添付ファイル:以下の拡張子を持つファイルを添付

  • EXE
  • SCR
  • PIF
  • CMD
  • BAT
・また、RARまたはZIPという拡張子を持つZIP圧縮ファイルにW32/Lovgate.ab@MMのコピーが格納されている可能性もあります。この場合、間に多くのスペースをはさんだ拡張子が2つ付けられていることがあります(例:.HTM .EXE)。

・DNSクエリを実行して、メッセージの送信に利用できるSMTPサーバを検索します。その際、ターゲットの電子メールアドレスのドメインの前に以下を追加します。

  • gate.
  • ns.
  • relay.
  • mail1.
  • mxs.
  • mx1.
  • smtp.
  • mail.
  • mx.
・さらに、W32/Logvate.ab@MMはMicrosoft OutlookおよびOutlook Expressの受信トレイの未読メッセージにも返信できます(MAPIを使用)。返信後、メッセージを削除します。メッセージのフォーマットは以下のとおりです。

件名:Re:(オリジナルメッセージの件名)

添付ファイル:(以下のいずれか)

  • the hardcore game-.pif
  • Sex in Office.rm.scr
  • Deutsch BloodPatch!.exe
  • s3msong.MP3.pif
  • Me_nude.AVI.pif
  • How to Crack all gamez.exe
  • Macromedia Flash.scr
  • SETUP.EXE
  • Shakira.zip.exe
  • dreamweaver MX (crack).exe
  • StarWars2 - CloneAttack.rm.scr
  • Industry Giant II.exe
  • DSL Modem Uncapper.rar.exe
  • joke.pif
  • Britney spears nude.exe.txt.exe
  • I am For u.doc.exe
ピアツーピア/フォルダを介した繁殖

・W32/Lovgate.ab@MMは、以下のファイル名を使用しているディレクトリに自身をコピーします(KaZaaとLimewireのようなピアツーピアアプリケーションは共有フォルダとして以下のようなファイル名でフォルダを使用している可能性があり、ウイルスをほかのディレクトリにアクセス可能にさせてしまう場合があります )。

  • Thank you.doc.exe
  • 3D Flash Animator.rar.bat
  • SWF Browser2.93.txt.exe
  • Download.exe
  • Panda Crack.zip.exe
  • WinRAR V3.2.0 Beta 2.exe
  • Swish2.00.pif
  • AAdobe Photoshop7.0 creak.pif
  • You_Life.JPG.pif
  • CloneCD crack.exe
  • WinZip v9.0 Beta Build 5480 crack.exe
  • Real-DRAW PRO v3.10.exe
  • Star Wars Downloader.exe
  • HyperSnap-DX v5.20.01.exe
  • Adobe Photoshop6.0.zip.exe
  • HyperSnap-DX v4.51.01.exe
ネットワークを介した繁殖

・W32/Lovgate.ab@MMは、特定のユーザ名およびパスワードを使用して、リモート共有(IPC$、ADMIN$)に接続しようとします。・リモート共有にW32/Lovgate.x@MMのコピーを作成すると、自身をリモート実行します。以下のように自身をコピーします。

  • ADMIN$\SYSTEM32\NETMANAGER.EXE
・そして、サービスとして自身をリモート実行します。このサービスの特徴は、以下のとおりです。

表示名:Windows Management NetWork Service Extensions
イメージへのパス:NetManager.exe -exe_start
起動:自動

コンパニオンウイルス感染

・W32/Lovgate.ab@MMはマップされたネットワークドライブ上のEXEファイルを自身のコピーに置き換え、元のファイルの拡張子を.ZMXに変更します。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

■Stinger
駆除ツールStingerがW32/Lovgateに対応しています。ダウンロードはこちら