電子メールを介した繁殖
・W32/Lovgate.aj@MMは自身のSMTPエンジンを使用して、またはMAPIを使用してローカルシステム上のメッセージに返信して、電子メールメッセージを作成します。
・自身のSMTPエンジンを使用してメッセージを作成する場合は、ターゲットマシンのファイルからターゲットになるメールアドレスを収集します。ただし、特定の文字列を含むアドレスには自身を送信しません。
・W32/Lovgate.aj@MMは、Microsoft OutlookおよびOutlook Expressの受信トレイにある未読メッセージに以下の電子メールで返信します。返信後に未読メッセージを削除します。
件名:(オリジナルメッセージの件名)
本文:
======
オリジナルメッセージの本文
======
Mail auto-reply:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
> Get your FREE YAHOO.COM Mail now! <
添付ファイル:
- the hardcore game-.pif
- Sex in Office.rm.scr
- Deutsch BloodPatch!.exe
- s3msong.MP3.pif
- Me_nude.AVI.pif
- How to Crack all gamez.exe
- Macromedia Flash.scr
- SETUP.EXE
- Shakira.zip.exe
- dreamweaver MX (crack).exe
- StarWars2 - CloneAttack.rm.scr
- Industry Giant II.exe
- DSL Modem Uncapper.rar.exe
- joke.pif
- Britney spears nude.exe.txt.exe
- I am For u.doc.exe
作成した電子メールメッセージ:
件名:(以下のいずれか)
- hi
- hello
- Hello
- Mail transaction Failed
- mail delivery system
本文:(以下のいずれか)
- Mail failed. For further assistance, please contact!
- The message contains Unicode characters and has been sent as a binary attachment.
- It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
添付ファイル:
- Documents
- book
- Recent
- user
- email
- .RAR
- .exe
- .com
- .pif
- .scr
ネットワークを介した繁殖
・W32/Lovgate.aj@MMは、特定のユーザ名およびパスワードを使用して、リモート共有(IPC$、ADMIN$)に接続しようとします。リモート共有にW32/Lovgate.aj@MMのコピーを作成すると、自身をリモート実行します。以下のように自身をコピーします。
- ADMIN$\SYSTEM32\NETMANAGER.EXE
・そして、サービスとして自身をリモート実行します。このサービスの特徴は、以下のとおりです。
表示名:Windows Management NetWork Service Extensions
イメージへのパス:NetManager.exe -exe_start
起動:自動
・管理者としてログインし、以下のいずれかのパスワードを使用して、ネットワーク上のコンピュータにアクセスします。
- 000000
- 00000000
- 007
- 110
- 111
- 123
- 321
- 1234
- 2003
- 2004
- 2600
- 12345
- 54321
- 111111
- 121212
- 123123
- 123456
- 654321
- 666666
- 888888
- 1234567
- 11111111
- 12345678
- 88888888
- 123456789
- !@#$
- !@#$%
- !@#$%^
- !@#$%^&
- !@#$%^&*
- 123abc
- 123asd
- aaa
- abc
- abc123
- abcd
- abcdef
- abcdefg
- admin
- Admin
- admin123
- administrator
- Administrator
- alpha
- asdf
- asdfgh
- computer
- database
- enable
- god
- godblessyou
- guest
- Guest
- home
- Internet
- Login
- login
- love
- mypass
- mypass123
- mypc
- mypc123
- oracle
- owner
- pass
- passwd
- password
- Password
- pw123
- pwd
- root
- secret
- server
- sex
- sql
- super
- sybase
- temp
- temp123
- test
- test123
- win
- xxx
- yxcv
- zxcv
・「Media」という名前の共有ディレクトリを作成し、以下のファイル名を使用して自身をフォルダにコピーします。
- WinRAR.exe
- Internet Explorer.bat
- Documents and Settings.txt.exe
- Microsoft Office.exe
- Windows Media Player.zip.exe
- Support Tools.exe
- WindowsUpdate.pif
- Cain.pif
- MSDN.ZIP.pif
- autoexec.bat
- findpass.exe
- client.exe
- i386.exe
- winhlp32.exe
- xcopy.exe
- mmc.exe
RPCDCOMの利用
・初めてW32/Lovgate.aj@MMが実行されると、%WinDir%\System32\フォルダに以下の2つのファイル(61,440バイト)をドロップ(作成)します。
- SPOLLSV.EXE(ウイルス定義ファイル4352以降でW32/Lovgate.x@MMとして検出)
- NETMEETING.EXE(ウイルス定義ファイル4352以降でW32/Lovgate.x@MMとして検出)
・これらのファイルはFTPサーバコンポーネントで、W32/Lovgate.aj@MMのコピーであるHXDEF.EXEという名前のファイルをダウンロードするスクリプトを実行します。ダウンロードが完了すると、W32/Lovgate.aj@MMが自動的に実行されます。
・また、W32/Lovgate.aj@MMは、RPCインタフェースバッファオーバーフロー(7.17.03)の脆弱性[MS03-026]を利用して、ネットワーク上の脆弱なマシンに感染します。さらに、リモートホスト上にFTPスクリプト(「a」)を作成し、FTP.EXEを実行します。このFTPスクリプトは、ターゲットマシンに、ウイルスに感染したホストからW32/Lovgate.aj@MMをHXDEF.EXEというファイル名でダウンロードして実行するように指示します。
・Netmeeting.exeおよびSpoolsv.exeファイルが起動時に実行されるよう、以下のレジストリキーを作成します。
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run "Microsoft NetMeeting Assoiciates, Inc." = NetMeeting.exe
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Shell Extension" = Spollsv.exe
