ウイルス情報

ウイルス名 危険度

W32/Lovgate.j@M

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4254
対応定義ファイル
(現在必要とされるバージョン)
4371 (現在7628)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 WORM_LOVGATE.J
情報掲載日 03/05/14
発見日(米国日付) 03/05/12
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

注:W32/Lovgate.j@Mは、定義ファイル4254以降で圧縮ファイルをスキャンすると、W32/Lovgate.gen@M(特定のウイルス名ではなく、ウイルスの総称です)として検出されます。定義ファイル4264を使用すると、W32/Lovgate.j@Mとして検出されます。

・W32/Lovgate.j@MはW32/Lovgateの新しい亜種で、これまでに発見された亜種のように以下の発病ルーチンがあります。

  • ネットワーク共有上に自身をコピーする。
  • Microsoft OutlookおよびOutlook Expressの受信トレイにある未読メッセージに対する返信メールで自身を送信する。
  • バックドアコンポーネント(BackDoor-AQJとして検出)をドロップ(作成)する。

・W32/Lovgate.j@Mは、ターゲットマシン上の実行ファイルにも感染します(ファイルの先頭にスタブを、末尾にワームのコピーを、それぞれ追加します)。

電子メールによる繁殖

・W32/Lovgate.j@Mは、Microsoft OutlookおよびOutlook Expressの受信トレイにある未読メッセージに対して返信します。

・W32/Lovgate.f@Mと同様に、以下のような電子メールメッセージを送信します。

件名:Re: Original subject
本文:

======
original message body
======
sender's domain account auto-reply:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
>Get your FREE sender's domain now! <

添付ファイル:(以下のいずれか)

  • Britney spears nude.exe.txt.exe
  • Deutsch BloodPatch!.exe
  • dreamweaver MX (crack).exe
  • DSL Modem Uncapper.rar.exe
  • How to Crack all gamez.exe
  • I am For u.doc.exe
  • Industry Giant II.exe
  • joke.pif
  • Macromedia Flash.scr
  • Me_nude.AVI.pif
  • s3msong.MP3.pif
  • SETUP.EXE
  • Sex in Office.rm.scr
  • Shakira.zip.exe
  • StarWars2 - CloneAttack.rm.scr
  • the hardcore game-.pif

・また、感染システムにある*.HT*文書内のMAILTOリンクから電子メールアドレスを収集して、以下のような電子メールメッセージを送信します。

件名:Reply to this!
本文:For further assistance, please contact!
添付ファイル: About_Me.txt.pif

または

件名:Let's Laugh
本文:Copy of your message, including all the headers is attached.
添付ファイル: driver.exe

または

件名:Last Update
本文:This is the last cumulative update.
添付ファイル: Doom3 Preview!!!.exe

または

件名:For you
本文:Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
添付ファイル: enjoy.exe

または

件名:Great
本文:Send reply if you want to be official beta tester.
添付ファイル: YOU_are_FAT!.TXT.pif

または

件名:Help
本文:This message was created automatically by mail delivery software (Exim).
添付ファイル: Source.exe

または

件名:Attached one Gift for u..
本文:It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
添付ファイル: nteresting.exe

または

件名:Hi Dear
本文:Adult content!!! Use with parental advisory.
添付ファイル: README.TXT.pif

または

件名:Hi
本文:Patrick Ewing will give Knick fans something to cheer about Friday night.
添付ファイル: images.pif

または

件名:See the attachement
本文:Send me your comments...
添付ファイル: Pics.ZIP.scr

インストール

・W32/Lovgate.j@Mが実行されると、ターゲットマシンに以下の複数のファイル(自身のコピーも複数含みます)を落とし込みます。

  • c:\WINNT\DRWTSN16.EXE:感染スタブ、49,152バイト
  • c:\WINNT\system32\IEXPLORE.EXE:ワームのコピー、127,488バイト
  • c:\WINNT\system32\RAVMOND.exe:ワームのコピー、127,488バイト
  • c:\WINNT\system32\WinDriver.exe:ワームのコピー、127,488バイト
  • c:\WINNT\system32\WinGate.exe:ワームのコピー、127,488バイト
  • c:\WINNT\system32\kernel66.dll:ワームのコピー、127,488バイト
  • c:\WINNT\system32\winexe.exe:ワームのコピー、127,488バイト
  • c:\WINNT\system32\winrpc.exe:ワームのコピー、127,488バイト
  • c:\WINNT\system32\winhelp.exe:ワームのコピー、127,488バイト
  • c:\WINNT\system32\Task688.dll:落とし込まれたBackDoor-AQJ、59,392バイト
  • c:\WINNT\system32\ily668.dll:落とし込まれたBackDoor-AQJ、59,392バイト
  • c:\WINNT\system32\reg678.dll:落とし込まれたBackDoor-AQJ、59,392バイト
  • c:\WINNT\system32\win32vxd.dll:落とし込まれたBackDoor-AQJ、32,768バイト

・以下のレジストリキーを追加して、システムの起動をフックします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
    "run" = RAVMOND.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "Program In Windows" = C:\WINNT\System32\IEXPLORE.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "Remote Procedure Call Locator" = RUNDLL32.EXE reg678.dll ondll_reg
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "WinGate initialize" = C:\WINNT\System32\WinGate.exe -remoteshell
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "WinHelp" = C:\WINNT\System32\WinHelp.exe

・以下のレジストリキーを改変して、テキストファイルの実行をフックします。

  • HKEY_CLASSES_ROOT\txtfile\shell\open\command
    (デフォルト) = "winrpc.exe %1"

・以下のレジストリキーを改変して、実行ファイルの実行をフックします。

  • HKEY_CLASSES_ROOT\exefile\shell\open\command
    (デフォルト) = C:\WINNT\System32\winexe.exe "%1" %*

・Windows NT/2000システム上で実行されると、自身を2つのサービスとして以下の表示名でインストールします。

  • "Microsoft NetWork FireWall Services"(NETSERVICES.EXEというファイル名のワームのコピーを実行、テストではインストールされませんでした)
  • "Windows Management Instrumentation Driver Extension"(WINDRIVER.EXEというファイル名のワームのコピーを実行)

・落とし込まれたバックドアコンポーネントにも、以下の表示名のサービスが追加されます。

  1. ll_reg (TASK688.dllファイルを実行)
  2. NetMeeting Remote Desktop (RPC) Sharing(TASK688.dllファイルを実行、テストではインストールされませんでした)

・ワーム内の文字列から、(これまでに発見された亜種のように)以下のようなフックを追加してWIN.INIファイルを改変すると考えられます。ただし、テストでは改変されませんでした。

[windows]
run=RAVMOND.exe

共有ネットワークによる繁殖

W32/Lovgate.f@Mのように辞書攻撃を仕掛けて、リモートシステム上のIPC$共有にアクセスしようとします。

・アクセスに成功すると、アクセス可能なすべての共有に、以下のようなさまざまなファイル名で自身をコピーします。

  • Are you looking for Love.doc.exe
  • autoexec.bat
  • The world of lovers.txt.exe
  • How To Hack Websites.exe
  • Panda Titanium Crack.zip.exe
  • Mafia Trainer!!!.exe
  • 100 free essays school.pif
  • AN-YOU-SUCK-IT.txt.pif
  • Sex_For_You_Life.JPG.pif
  • CloneCD + crack.exe
  • Age of empires 2 crack.exe
  • MoviezChannelsInstaler.exe
  • Star Wars II Movie Full Downloader.exe
  • Winrar + crack.exe
  • SIMS FullDownloader.zip.exe
  • MSN Password Hacker and Stealer.exe

バックドアコンポーネント

・W32/Lovgate.j@Mは、トロイの木馬コンポーネントを落とし込みます。トロイの木馬コンポーネントをドロップ(作成)することがあります。このコンポーネントは、定義ファイル4254以降でBackdoor-AQJとして検出されます。このファイルはAspackで多重圧縮されているので、圧縮ファイルの検出を有効にしてスキャンしてください。

・W32/Lovgate.j@Mがリモートシェルパラメータで実行されると、バックドアコンポーネントはターゲットマシンのポート20168を開いて、電子メールでターゲットマシンの感染をハッカーに通知します。この通知の受信者として、以下の電子メールアドレスがハードコード化されています。

  • hello_dll@163.com
    (注:この他の電子メールアドレスも通知の受信者アドレスに使用されます。アドレスは設定データ内に保存されるので、さまざまなアドレスが使用されます。)

・感染システム情報(システムのパスワードなど)もハッカーに送信されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・ターゲットマシンに、上記のファイルが存在します。

・ポート20618が開いています(バックドアコンポーネントのドロッパ)。

・PEファイルのサイズが、(176,648バイト)増加します。

TOPへ戻る

感染方法

・W32/Lovgate.j@Mは、電子メールおよび共有ネットワークを介して繁殖します。

TOPへ戻る

駆除方法

全ての Windows ユーザー様

  • 検出・駆除には上記に指定したエンジンと定義ファイルをお使い下さい。
  • 完全に駆除するには4.2.40エンジンが必要となります。
  • ウイルスが寄生的に実行ファイルに感染している時は、手動による駆除はむいていません。感染システムを修復するためには以下の方法を取ってください。
    • システムをセーフモードで再起動します。
      (電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
    • ウイルススキャンを実行し、すべての感染ファイルを駆除することを選びます。
    • コンピュータを再起動します。

Windows ME/XPの駆除ヒントこちらをご覧ください。

TOPへ戻る