McAfee for Small Businesses

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

・W32/Lovgate.ah@MMが実行されると、システムにさまざまなファイルをドロップ（作成）します。以下のファイルは、W32/Lovgate.ah@MMのコピーです（125,440バイト）。 %WINDIR%\SYSTRA.EXE %WINDIR%\system32\hxdef.exe %WINDIR%\system32\IEXPLORE.EXE %WINDIR%\system32\kernel66.dll %WINDIR%\system32\RAVMOND.exe %WINDIR%\system32\realsched.exe %WINDIR%\system32\vptray.exe c:\COMMAND.EXE ・Windowsの自動実行機能によってCOMMAND.EXEを実行するように作成されたAUTORUN.INFファイルもすべてのドライブのルートディレクトリにドロップされます。 ・以下のファイルがドロップ（作成）されます。このファイルはリモートアクセスコンポーネントです（BackDoor-AQJとして検出）。 %WINDIR%\system32\LMMIB20.DLL %WINDIR%\system32\msjdbc11.dll %WINDIR%\system32\MSSIGN30.DLL %WINDIR%\system32\ODBC16.dll ・また、これまでの亜種であるW32/Lovgate.ac@MM（49,152バイト）もドロップ（作成）して実行します。W32/Lovgate.ac@MMには、ファイル感染コンポーネントが組み込まれており、コードの前に実行ファイルが付加されています。ファイルのサイズは174,600バイトずつ大きくなります。W32/Lovgate.ac@MMは以下のファイルとしてドロップ（作成）されます。 %WINDIR%\suchost.exe ・また、W32/Lovgate.x@MMもドロップ（作成）します。 %WINDIR%\NetMeeting.exe（61,440バイト） ・W32/Lovgate.ah@MMが起動時に動作するよう、以下のレジストリキーを追加します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Hardware Profile" = (260バイト以上のデータです) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Microsoft NetMeeting Associates, Inc." = (260バイト以上のデータです) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Program In Windows" = %WINDIR%\System32\IEXPLORE.EXE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Protected Storage" = (260バイト以上のデータです) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "VFW Encoder/Decoder Settings" = (260バイト以上のデータです) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "WinHelp" = (260バイト以上のデータです) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices "SystemTra" = %WINDIR%\SysTra.EXE ・ターゲットマシンにサービスとしてバックドアコンポーネントをインストールします。特徴は以下のとおりです。 サービス1 表示名：_reg イメージへのパス：Rundll32.exe msjdbc11.dll ondll_server 起動：自動 サービス2 表示名：Windows Management Protocol v.0 (experimental) 説明：Windows Advanced Server（LANguardのスケジュールスキャンを実行） イメージへのパス：Rundll32.exe msjdbc11.dll ondll_server 起動：自動 ・以下のレジストリキーにサービス情報を格納します。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Protocol v.0 (experimental) プロセスの終了 ・W32/Lovgate.ah@MMは実行中のプロセスで以下の文字列を検索し、該当するプロセスを強制終了します。 KAV Duba NAV kill RavMon.exe Rfw.exe Gate McAfee Symantec SkyNet rising

感染方法

TOPへ戻る

電子メールを介した繁殖 ・W32/Lovgate.ah@MMは自身のSMTPエンジンを使用して、またはMAPIを使用してローカルシステム上のメッセージに返信して、電子メールメッセージを作成します。 ・自身のSMTPエンジンを使用してメッセージを作成する場合は、ターゲットマシンのファイルからターゲットになるメールアドレスを収集します。ただし、特定の文字列を含むアドレスには自身を送信しません。 ・W32/Lovgate.ah@MMは、Microsoft OutlookおよびOutlook Expressの受信トレイにある未読メッセージに以下の電子メールで返信します。返信後に未読メッセージを削除します。 件名：（オリジナルメッセージの件名） 本文： ====== オリジナルメッセージの本文 ====== Mail auto-reply: If you can keep your head when all about you Are losing theirs and blaming it on you; If you can trust yourself when all men doubt you, But make allowance for their doubting too; If you can wait and not be tired by waiting, Or, being lied about,don't deal in lies, Or, being hated, don't give way to hating, And yet don't look too good, nor talk too wise; ... ... more look to the attachment. > Get your FREE YAHOO.COM Mail now! < 添付ファイル： I am For u.doc.exe Britney spears nude.exe.txt.exe joke.pif DSL Modem Uncapper.rar.exe Industry Giant II.exe StarWars2 - CloneAttack.rm.scr dreamweaver MX (crack).exe Shakira.zip.exe SETUP.EXE Macromedia Flash.scr How to Crack all gamez.exe Me_nude.AVI.pif s3msong.MP3.pif Deutsch BloodPatch!.exe Sex in Office.rm.scr the hardcore game-.pif UnknownProcess Explorer.exe Taskmgr.exe 作成した電子メールメッセージ： 件名：（以下のいずれか） hi hello Hello Mail transaction Failed mail delivery system 本文：（以下のいずれか） Mail failed. For further assistance, please contact! The message contains Unicode characters and has been sent as a binary attachment. It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment. 添付ファイル： Documents book Recent user email .RAR .exe .com .pif .scr ネットワークを介した繁殖 ・W32/Lovgate.ah@MMは、特定のユーザ名およびパスワードを使用して、リモート共有（IPC$、ADMIN$）に接続しようとします。リモート共有にW32/Lovgate.ah@MMのコピーを作成すると、自身をリモート実行します。以下のように自身をコピーします。 ADMIN$\SYSTEM32\NETMANAGER.EXE ・そして、サービスとして自身をリモート実行します。このサービスの特徴は、以下のとおりです。 表示名：Windows Management NetWork Service Extensions イメージへのパス：NetManager.exe -exe_start 起動：自動 ・管理者としてログインし、以下のいずれかのパスワードを使用して、ネットワーク上のコンピュータにアクセスします。 000000 00000000 007 110 111 123 321 1234 2003 2004 2600 12345 54321 111111 121212 123123 123456 654321 666666 888888 1234567 11111111 12345678 88888888 123456789 !@#$ !@#$% !@#$%^ !@#$%^& !@#$%^& 123abc 123asd aaa abc abc123 abcd abcdef abcdefg admin Admin admin123 administrator Administrator alpha asdf asdfgh computer database enable god godblessyou guest Guest home Internet Login login love mypass mypass123 mypc mypc123 oracle owner pass passwd password Password pw123 pwd root secret server sex sql super sybase temp temp123 test test123 win xxx yxcv zxcv ・W32/Lovgate.ah@MMは、ランダムなファイル名と拡張子を使用して、共有ドライブに自身をコピーします。実行ファイルの中には、拡張子が*.ZMXに変更されるものもあります。使用されるファイル名の一例は以下のとおりです。 xcopy.exe winhlp32.exe i386.exe client.exe findpass.exe autoexec.bat MSDN.ZIP.pif Cain.pif WindowsUpdate.pif mmc.exe Support Tools.exe Windows Media Player.zip.exe Microsoft Office.exe Documents and Settings.txt.exe Internet Explorer.bat WinRAR.exe ・以下のようなランダムなファイル名を使用して、KaZaaの共有ディレクトリに自身をコピーします。 c:\Program Files\KaZaA Lite\My Shared Folder\ERNYBAR.scr

駆除方法	TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 Windows ME/XPでの駆除についての補足