製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:L
ウイルス情報
ウイルス名危険度
W32/Lovgate.p@M
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)		4339
対応定義ファイル
(現在必要とされるバージョン)		4339 (現在7077)
対応エンジン4.2.40以降 (現在5.4.00) 
エンジンバージョンの見分け方
情報掲載日04/03/18
発見日(米国日付)04/03/17
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/15ZeroAccess!5...
05/15VBS/LoveLett...
05/15RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7077
 エンジン:5.4.00
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・AVERTはW32/Lovgate.p@Mの再圧縮されたサンプルを受け取りました。W32/Lovgate.p@Mは定義ファイル4339で検出されます。注:これまでに発見された亜種と同様、W32/Lovgate.p@Mも定義ファイル4339でBackDoor-AQJ として検出されるバックドアコンポーネントをドロップ(作成)します。

・W32/Lovgate.p@Mは、これまでに発見された亜種に類似しています。

  • 自身をネットワーク共有にコピーします。
  • バックドアコンポーネントをドロップ(作成)します(定義ファイル4339以降でBackDoor-AQJ として検出されます)。
  • ターゲットマシン上に共有を作成します。
  • Microsoft OutlookおよびOutlook Expressの受信トレイにある未読メッセージに対する返信メールで、自身を送信します。

・また、実行中のプロセスが以下の文字列を含んでいないかを検索し、該当するプロセスを終了させます。

  • RISING
  • SKYNET
  • SYMANTEC
  • MCAFEE
  • GATE
  • RFW.EXE
  • RAVMON.EXE
  • KILL
  • NAV
  • DUBA
  • KAV
  • KV
以下の症状が見られる場合、このウイルスに感染している可能性があります。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

インストール

・W32/Lovgate.p@Mが実行されると、ターゲットマシンに以下の複数のファイル(自身のコピーも複数含みます)をドロップ(作成)します。

  • c:\WINNT\system32\IEXPLORE.EXE(W32/Lovgate.p@Mのコピー:105,586バイト )
  • c:\WINNT\system32\RAVMOND.exe(W32/Lovgate.p@Mのコピー:105,586バイト )
  • c:\WINNT\system32\kernel66.dll(W32/Lovgate.p@Mのコピー:105,586バイト )
  • c:\WINNT\system32\winexe.exe(W32/Lovgate.p@Mのコピー:105,586バイト )
  • c:\WINNT\system32\winhelp.exe(W32/Lovgate.p@Mのコピー:105,586バイト )

・以下のファイルはすべてバックドアコンポーネントで、定義ファイル4339でBackdoor-AQJとして検出されます。

  • c:\WINNT\system32\lmmib20.dll(53,760バイト)
  • c:\WINNT\system32\mjdbc11.dll(53,760バイト)
  • c:\WINNT\system32\mssign30.dll(53,760バイト)
  • c:\WINNT\system32\ODBC16.dll(53,760バイト)

・以下のレジストリキーを追加して、システムの起動をフックします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows "run" = RAVMOND.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "Program In Windows" = C:\WINNT\System32\IEXPLORE.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "Protected Storage" = RUNDLL32.EXE mssign30.dll ondll_reg
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "VFW Encoder/Decoder Settings" = RUNDLL32.EXE mssign30.dll ondll_reg
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "WinHelp" = C:\WINNT\System32\WinHelp.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\runservices "SystemTra" = C:\WINNT\SysTra.exe

電子メールを介した繁殖

・W32/Lovgate.p@Mは、Microsoft OutlookおよびOutlook Expressの受信トレイ内にある未読メッセージに対して返信し、その後返信メッセージを削除します。

・W32/Lovgate.f@Mと同様に、以下のような電子メールメッセージを送信します。

件名:Re: Original subject
本文:
======
original message body
======
sender's domain account auto-reply:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
> Get your FREE sender's domain now! <

添付ファイル:(以下のいずれか)

  • the hardcore game-.pif
  • Sex in Office.rm.scr
  • Deutsch BloodPatch!.exe
  • s3msong.MP3.pif
  • Me_nude.AVI.pif
  • How to Crack all gamez.exe
  • Macromedia Flash.scr
  • SETUP.EXE
  • shakira.zip.exe
  • dreamweaver MX (crack).exe
  • StarWars2 - CloneAttack.rm.scr
  • Industry Giant II.exe
  • DSL Modem Uncapper.rar.exe
  • joke.pif
  • Britney spears nude.exe.txt.exe
  • I am For u.doc.exe

共有ネットワークによる繁殖

・W32/Lovgate.p@Mは、W32/Lovgate.f@Mのように辞書攻撃を仕掛けて、リモートシステム上のIPC$共有にアクセスしようとします。

・アクセスに成功すると、アクセス可能なすべての共有に、以下のようなさまざまなファイル名で自身をコピーします。

  • Are you looking for Love.doc.exe
  • autoexec.bat
  • The world of lovers.txt.exe
  • How To Hack Websites.exe
  • Panda Titanium Crack.zip.exe
  • Mafia Trainer!!!.exe
  • 100 free essays school.pif
  • AN-YOU-SUCK-IT.txt.pif
  • Sex_For_You_Life.JPG.pif
  • CloneCD + crack.exe
  • Age of empires 2 crack.exe
  • MoviezChannelsInstaler.exe
  • Star Wars II Movie Full Downloader.exe
  • Winrar + crack.exe
  • SIMS FullDownloader.zip.exe
  • SN Password Hacker and Stealer.exe

感染方法TOPへ戻る

・ターゲットマシンに、上記のファイルが存在します。

・ターゲットマシンに、上記のレジストリキーが存在します。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足