ウイルス情報

ウイルス名 危険度

W32/Lovgate.f@M

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4254
対応定義ファイル
(現在必要とされるバージョン)
4383 (現在7633)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.HLLW.Lovgate.G@mm (Symantec):W32/LovGate.F-m (MessageLabs):Win32.Lovgate.F (CA):WORM_LOVGATE.F (Trend)
情報掲載日 03/08/04
発見日(米国日付) 03/03/22
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

【5月13日情報更新】
このウイルスの新しい亜種 (W32/Lovgate.j@M) が報告されました。この亜種は4254以降のウイルス定義ファイルでは(圧縮ファイルのスキャンを有効にすると)W32/Lovgate.gen@Mとして検出されます。

【3月28日情報更新】
・AVERTは、メディアの注目度の高い、4254定義ファイルに含まれるW32/Lovgate.f@MとW32/Lovgate.g@Mの2ウイルスの検出を強化していきます。

・この2つのウイルスの特徴は非常に似ています。違いはファイルサイズのみです。

・このウイルスはWindows98/MEでは、正しく動きません。

・W32/Lovgate.f@M(SMTPエンジンを内蔵)は電子メールを介して繁殖し、ネットワーク共有内に自身をコピーします。さらに(TCPポート20168を使用して)バックドアコンポーネントをドロップ(作成)することもあります。このトロイの木馬は、リモート攻撃者が感染したシステムにコンソールを使用してアクセスできるようにします。

電子メールによる繁殖

・W32/Lovgate.f@Mは、Mircosoft OutlookおよびOutlook Expressの受信トレイ内にある未読メッセージに対して返信します。以下のようなメッセージが送信されます。

件名: Re: <オリジナルのメール件名>
本文:

======
オリジナルのメール本文
======
<メール送信者のSMTPアカウント> account auto-reply:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
> Get your FREE <メール送信者のSMTPアカウント> now! <

添付ファイル:(下記のいずれか)

  • Britney spears nude.exe.txt.exe
  • Deutsch BloodPatch!.exe
  • dreamweaver MX (crack).exe
  • DSL Modem Uncapper.rar.exe
  • How to Crack all gamez.exe
  • I am For u.doc.exe
  • Industry Giant II.exe
  • joke.pif
  • Macromedia Flash.scr
  • Me_nude.AVI.pif
  • s3msong.MP3.pif
  • SETUP.EXE
  • Sex in Office.rm.scr
  • Shakira.zip.exe
  • StarWars2 - CloneAttack.rm.scr
  • the hardcore game-.pif

・また、このワームは感染システムにある*.HT*ドキュメント内のMAILTOリンクから電子メールアドレスを収集しようとします。これらの宛先に以下のような電子メールメッセージのいずれかひとつを送信します。

件名: For further assistance, please contact!
添付ファイル: About_Me.txt.pif

または

件名: Let's Laugh
本文: Copy of your message, including all the headers is attached.
添付ファイル: driver.exe

または

件名: Last Update
本文: This is the last cumulative update.
添付ファイル: Doom3 Preview!!!.exe

または

件名: For you
本文: Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
添付ファイル: enjoy.exe

または

件名: Great
本文: Send reply if you want to be official beta tester.
添付ファイル: YOU_are_FAT!.TXT.pif

または

件名: Help
本文: This message was created automatically by mail delivery software (Exim).
添付ファイル: Source.exe

または

件名: Attached one Gift for u..
本文: It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
添付ファイル: nteresting.exe

または

件名: Hi Dear
本文: Adult content!!! Use with parental advisory.
添付ファイル: README.TXT.pif

または

件名: Hi
本文: Patrick Ewing will give Knick fans something to cheer about Friday night.
添付ファイル: images.pif

または

件名: See the attachement
本文: Send me your comments...
添付ファイル: Pics.ZIP.scr

ウイルスの実行

・W32/Lovgate.f@Mは実行されると、自身を以下のようなファイル名で%System%フォルダにコピーします。

  • IEXPLORE.EXE
  • kernel66.dll
  • NetServices.exe
  • RAVMOND.exe
  • WinDriver.exe
  • WinGate.exe
  • WinHelp.exe
  • winrpc.exe

・バックドアコンポーネントは、以下のような様々なファイル名で何度も%System%ディレクトリに落とし込まれることがあります。

  • 111.dll
  • ily668.dll
  • reg678.dll
  • Task688.dll

・この動作は、テスト時にはWindows NT/2000システムにだけ見られました。ファイルの大きさは81,920バイトでした。

(注意:%System% はWindows Systemフォルダです。通常、Windows 9x/MEではC:\Windows\System、Windows NT/2000ではC:\WINNT\System32、Windows XPではC:\Windows\System32です。)

・以下のレジストリキーが追加され、システムの起動をフックします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
    "run" = RAVMOND.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "Program In Windows" = C:\WINNT\System32\IEXPLORE.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "Remote Procedure Call Locator" = RUNDLL32.EXE reg678.dll ondll_reg
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "WinGate initialize" = C:\WINNT\System32\WinGate.exe -remoteshell
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "WinHelp" = C:\WINNT\System32\WinHelp.exe

・以下のレジストリキーが改変され、テキストファイルの実行をフックします。

  • HKEY_CLASSES_ROOT\txtfile\shell\open\command
    (Default) = "winrpc.exe %1"

・Windows NT/2000で実行された場合、W32/Lovgate.f@Mは自身を2つのサービスとして以下の表示名でインストールします。

  • "Microsoft NetWork FireWall Services"(NETSERVICES.EXEというファイル名のワームのコピーを起動するように設定する)
  • "Windows Management Instrumentation Driver Extension"(WINDRIVER.EXEというファイル名のワームのコピーを起動するように設定する)

・落とし込まれたバックドアコンポーネントのひとつ(TASK688.DLL)も、2つのサービスとして以下の表示名でインストールされます。

  1. ll_reg
  2. NetMeeting Remote Desktop (RPC) Sharing

・また、ワームは以下のように’Run’コマンドを追加してWIN.INIファイルを改変します。

[windows]
run=RAVMOND.exe

共有ネットワークによる繁殖

・W32/Lovgate.f@Mは辞書攻撃の手法を使用して、リモートシステムにあるIPC$共有ネットワークにアクセスしようとします。攻撃には以下のパスワードが使用されます。

  • 0
  • 1
  • 7
  • 12
  • 110
  • 111
  • 123
  • 321
  • 1234
  • 2002
  • 2003
  • 2600
  • 12345
  • 54321
  • 111111
  • 121212
  • 123123
  • 123456
  • 654321
  • 666666
  • 888888
  • 1234567
  • 11111111
  • 12345678
  • 88888888
  • 123456789
  • !@#$
  • !@#$%
  • !@#$%^
  • !@#$%^&
  • !@#$%^&*
  • 123abc
  • 123asd
  • a
  • aaa
  • abc
  • abc123
  • abcd
  • abcdef
  • abcdefg
  • Admin
  • admin
  • admin123
  • administrator
  • alpha
  • asdf
  • asdfgh
  • computer
  • database
  • enable
  • god
  • godblessyou
  • guest
  • home
  • Internet
  • login
  • Login
  • love
  • mypass
  • mypass123
  • mypc
  • mypc123
  • oracle
  • owner
  • pass
  • passwd
  • Password
  • password
  • pc
  • pw
  • pw123
  • pwd
  • root
  • secret
  • server
  • sex
  • sql
  • super
  • sybase
  • temp
  • temp123
  • test
  • test123
  • win
  • xp
  • xxx
  • yxcv
  • zxcv

・次に、以下のファイル名を使用して、アクセス可能なすべての共有ネットワークに自身をコピーします。

  • 100 free essays school.pif
  • Age of empires 2 crack.exe
  • AN-YOU-SUCK-IT.txt.pif
  • Are you looking for Love.doc.exe
  • autoexec.bat
  • CloneCD + crack.exe
  • How To Hack Websites.exe
  • Mafia Trainer!!!.exe
  • MoviezChannelsInstaler.exe
  • MSN Password Hacker and Stealer.exe
  • Panda Titanium Crack.zip.exe
  • Sex_For_You_Life.JPG.pif
  • SIMS FullDownloader.zip.exe
  • Star Wars II Movie Full Downloader.exe
  • The world of lovers.txt.exe
  • Winrar + crack.exe

バックドアコンポーネント

・W32/Lovgate.f@Mはトロイの木馬コンポーネントをドロップ(作成)することがあります。このコンポーネントは、定義ファイル4254以降でBackdoor-AQJとして検出されます。

・このワームがリモートシェルパラメータで実行されると、バックドアはターゲットマシンのポート20168を開いて、電子メールでターゲットマシンの感染をハッカーに通知します。以下のアドレスは受信者情報です。

  • yf23668@163.com
  • hello_zyx@163.com
  • hello_dll@163.com
  • ab89d@yahoo.com.cn

・感染マシンに関する情報も同様にハッカーに送信されます。この情報にはシステム情報が含まれる場合もあります。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルが存在します。

・システムがTCPポート20168を聴取します。

・このウイルスの副作用として、プリントキューにコピーされたウイルスが、バイナリデータとして大量に印刷される恐れがあります。

TOPへ戻る

感染方法

・W32/Lovgate.f@Mは電子メールおよび共有ネットワークを介して繁殖します。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

このウイルスによって作成されたレジストリのバリューを削除するために、以下のレジストリスクリプトが公開されています。(この作業は、4.2.40のエンジンを利用されている方には必要ありません。)

backdoor.DLLは、消去されることを防ぐためにLSASS.EXEに組み込まれます。このファイルは、4.2.40エンジンではBackDoor-AQJとして検出され、除去されます。

Stinger はWindowsを再起動せずにW32/Lovgate@MとBackDoor-AQJを除去することができます。しかし、そのウイルスによって作成されたサービスは、次の再起動までコントロールパネル内に残されます。

TOPへ戻る


亜種情報

    亜種名種別亜類別相違点
    W32/Lovgate.g@Mウイルスワーム