製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:L
ウイルス情報
ウイルス名危険度
W32/Lovgate.ag@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4374
対応定義ファイル
(現在必要とされるバージョン)
4374 (現在7593)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日04/07/12
発見日(米国日付)04/07/09
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/18Generic.dx!E...
10/18RDN/Download...
10/18RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
・W32/Lovgate.ag@MMは複数回圧縮されています。

・W32/Lovgate.ag@MMの特徴は、これまでの亜種とほぼ同様です。

  • アクセス可能なまたはセキュリティが不十分なリモート共有に自身をコピーし、連続したIPの範囲をスキャンし、アクセス可能なIPC$共有、またはADMIN$共有を検索
  • ターゲットマシンに共有ファイル(ファイル名"MEDIA")を作成
  • 自身のSMTPエンジンを使用して、メッセージを作成し、自身を送信。電子メールの添付ファイルはZIP圧縮ファイルの可能性ありターゲットマシンで見つかった電子メールへの返信メールを送信(MAPI)
  • さまざまなウイルス対策、セキュリティ製品に関連するプロセスを終了

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・W32/Lovgate.ag@MMが実行されると、システムにさまざまなファイルをドロップ(作成)します。以下のファイルは、W32/Lovgate.ag@MMのコピーです(183,296バイト)。
  • %WINDIR%\SYSTRA.EXE
  • %WINDIR%\system32\hxdef.exe
  • %WINDIR%\system32\IEXPLORE.EXE
  • %WINDIR%\system32\kernel66.dll
  • %WINDIR%\system32\RAVMOND.exe
・Windowsの自動実行機能によってCOMMAND.EXEを実行するように作成されたAUTORUN.INFファイルもすべてのドライブのルートディレクトリにドロップされます。

・以下のファイルがドロップ(作成)されます。このファイルはリモートアクセスコンポーネントです(BackDoor-AQJまたはBackDoor-AQJ.bとして検出)。

  • %WINDIR%\system32\internet.exe
  • %WINDIR%\system32\LMMIB20.DLL
  • %WINDIR%\system32\msjdbc11.dll
  • %WINDIR%\system32\MSSIGN30.DLL
  • %WINDIR%\system32\ODBC16.dll
  • %WINDIR%\system32\svch0st.exe
  • %WINDIR%\system32\win32vxd.dll
・また、W32/Lovgate.ag@MMは、これまでの亜種もドロップ(作成)します。

W32/Lovgate.ad@MM(57,344バイト):

  • %WINDIR%\DRWTSN16.EXE
W32/Lovgate.x@MM(61,440バイト):
  • %WINDIR%\system32\NetMeeting.exe
  • %WINDIR%\system32\spollsv.exe
・W32/Lovgate.ag@MMが起動時に動作するよう、以下のレジストリキーを追加します。
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
    "run" = RAVMOND.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "Hardware Profile" = (260バイト以上のデータです)
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "Microsoft NetMeeting Associates, Inc." = (260バイト以上のデータです)
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "Network Associates, Inc." = (260バイト以上のデータです)
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "Program In Windows" = C:\WINNT\System32\IEXPLORE.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "Protected Storage" = (260バイト以上のデータです)
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "S0undMan" = (260バイト以上のデータです)
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "Shell Extension" = (260バイト以上のデータです)
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "VFW Encoder/Decoder Settings" = (260バイト以上のデータです)
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
    "SystemTra" = C:\WINNT\SysTra.EXE
・ターゲットマシンにサービスとしてバックドアコンポーネントをインストールします。特徴は以下のとおりです。

サービス1
表示名:_reg
イメージへのパス:Rundll32.exe msjdbc11.dll ondll_server
起動:自動

サービス2
表示名:Windows Management Protocol v.0 (experimental)
説明:Windows Advanced Server(LANguardのスケジュールスキャンを実行)
イメージへのパス:Rundll32.exe msjdbc11.dll ondll_server
起動:自動

・以下のレジストリキーにサービス情報を格納します。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Protocol v.0 (experimental)
プロセスの終了

・W32/Lovgate.ag@MMは実行中のプロセスで以下の文字列を検索し、該当するプロセスを強制終了します。

  • rising
  • SkyNet
  • Symantec
  • McAfee
  • Gate
  • Rfw.exe
  • RavMon.exe
  • kill
  • NAV
  • Duba
  • KAV
  • KV

感染方法TOPへ戻る
電子メールを介した繁殖

・W32/Lovgate.ag@MMは自身のSMTPエンジンを使用して、またはMAPIを使用してローカルシステム上のメッセージに返信して、電子メールメッセージを作成します。

・自身のSMTPエンジンを使用してメッセージを作成する場合は、ターゲットマシンのファイルからターゲットになるメールアドレスを収集します。ただし、特定の文字列を含むアドレスには自身を送信しません。

・W32/Lovgate.ag@MMは、Microsoft OutlookおよびOutlook Expressの受信トレイにある未読メッセージに以下の電子メールで返信します。返信後に未読メッセージを削除します。

件名:(オリジナルメッセージの件名)

本文:

======
オリジナルメッセージの本文
======
Mail auto-reply:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.

> Get your FREE YAHOO.COM Mail now! <

添付ファイル:

  • the hardcore game-.pif
  • Sex in Office.rm.scr
  • Deutsch BloodPatch!.exe
  • s3msong.MP3.pif
  • Me_nude.AVI.pif
  • How to Crack all gamez.exe
  • Macromedia Flash.scr
  • SETUP.EXE
  • Shakira.zip.exe
  • dreamweaver MX (crack).exe
  • StarWars2 - CloneAttack.rm.scr
  • Industry Giant II.exe
  • DSL Modem Uncapper.rar.exe
  • joke.pif
  • Britney spears nude.exe.txt.exe
  • I am For u.doc.exe
作成した電子メールメッセージ:

件名:(以下のいずれか)

  • hi
  • hello
  • Hello
  • Mail transaction Failed
  • mail delivery system
本文:(以下のいずれか)
  • Mail failed. For further assistance, please contact!
  • The message contains Unicode characters and has been sent as a binary attachment.
  • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
添付ファイル:(以下の拡張子を使用して、ランダムに作成)
  • EXE
  • PIF
  • SCR
  • ZIP
ネットワークを介した繁殖

・W32/Lovgate.ag@MMは、特定のユーザ名およびパスワードを使用して、リモート共有(IPC$、ADMIN$)に接続しようとします。リモート共有にW32/Lovgate.ag@MMのコピーを作成すると、自身をリモート実行します。以下のように自身をコピーします。

  • ADMIN$\SYSTEM32\NETMANAGER.EXE
・そして、サービスとして自身をリモート実行します。このサービスの特徴は、以下のとおりです。

表示名:Windows Management NetWork Service Extensions
イメージへのパス:NetManager.exe -exe_start
起動:自動

・管理者としてログインし、以下のいずれかのパスワードを使用して、ネットワーク上のコンピュータにアクセスします。

  • Guest
  • Administrator
  • zxcv
  • yxcv
  • xxx
  • xp
  • win
  • test123
  • test
  • temp123
  • temp
  • sybase
  • super
  • sex
  • secret
  • pwd
  • pw123
  • pw
  • pc
  • Password
  • owner
  • oracle
  • mypc123
  • mypc
  • mypass123
  • mypass
  • love
  • login
  • Login
  • Internet
  • home
  • godblessyou
  • god
  • enable
  • database
  • computer
  • alpha
  • admin123
  • Admin
  • abcd
  • aaa
  • a
  • 88888888
  • 2600
  • 2004
  • 2003
  • 123asd
  • 123abc
  • 123456789
  • 1234567
  • 123123
  • 121212
  • 12
  • 11111111
  • 110
  • 007
  • 00000000
  • 000000
  • 0
  • pass
  • 54321
  • 12345
  • password
  • passwd
  • server
  • sql
  • !@#$%^&
  • !@#$%^&
  • !@#$%^
  • !@#$%
  • asdfgh
  • asdf
  • !@#$
  • 1234
  • 111
  • 1
  • root
  • abc123
  • 12345678
  • abcdefg
  • abcdef
  • abc
  • 888888
  • 666666
  • 111111
  • admin
  • administrator
  • guest
  • 654321
  • 123456
  • 321
  • 123
・以下のようなランダムなファイル名と拡張子を使用して、共有ドライブに自身をコピーします。
  • WinRAR.exe
  • Internet Explorer.bat
  • Documents and Settings.txt.exe
  • Microsoft Office.exe
  • Windows Media Player.zip.exe
  • Support Tools.exe
  • WindowsUpdate.pif
  • Cain.pif
  • MSDN.ZIP.pif
  • autoexec.bat
  • findpass.exe
  • client.exe
  • i386.exe
  • winhlp32.exe
  • xcopy.exe
  • mmc.exe
・以下のようなランダムなファイル名を使用して、KaZaaの共有ディレクトリに自身をコピーします。
  • c:\Program Files\KaZaA Lite\My Shared Folder\ERNYBAR.scr
  • c:\Program Files\KaZaA Lite\My Shared Folder\frghc.bat
  • c:\Program Files\KaZaA Lite\My Shared Folder\J32Qnfz.scr
RPCDCOMの利用

・W32/Lovgate.ag@MMがドロップ(作成)するファイルにはFTPサーバコンポーネントが格納されており、W32/Lovgate.ag@MMのコピーであるHXDEF.EXEという名前のファイルをダウンロードするスクリプトを実行します。ダウンロードが完了すると、W32/Lovgate.ag@MMが自動的に実行されます。

・また、W32/Lovgate.ag@MMは、RPCインタフェースバッファオーバーフロー(7.17.03)の脆弱性[MS03-026]を利用して、ネットワーク上の脆弱なマシンに感染します。さらに、リモートホスト上にFTPスクリプト(「a」)を作成し、FTP.EXEを実行します。このFTPスクリプトは、ターゲットマシンに、ウイルスに感染したホストからW32/Lovgate.ag@MMをHXDEF.EXEというファイル名でダウンロードして実行するように指示します。

・Netmeeting.exeファイルが起動時に実行されるよう、以下のレジストリキーを作成します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
    "Microsoft Associates, Inc." = NetMeeting.exe

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足