ウイルス情報

ウイルス名 危険度

W32/Lovgate.p@M

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4339
対応定義ファイル
(現在必要とされるバージョン)
4339 (現在7656)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 04/03/18
発見日(米国日付) 04/03/17
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・AVERTはW32/Lovgate.p@Mの再圧縮されたサンプルを受け取りました。W32/Lovgate.p@Mは定義ファイル4339で検出されます。注:これまでに発見された亜種と同様、W32/Lovgate.p@Mも定義ファイル4339でBackDoor-AQJ として検出されるバックドアコンポーネントをドロップ(作成)します。

・W32/Lovgate.p@Mは、これまでに発見された亜種に類似しています。

  • 自身をネットワーク共有にコピーします。
  • バックドアコンポーネントをドロップ(作成)します(定義ファイル4339以降でBackDoor-AQJ として検出されます)。
  • ターゲットマシン上に共有を作成します。
  • Microsoft OutlookおよびOutlook Expressの受信トレイにある未読メッセージに対する返信メールで、自身を送信します。

・また、実行中のプロセスが以下の文字列を含んでいないかを検索し、該当するプロセスを終了させます。

  • RISING
  • SKYNET
  • SYMANTEC
  • MCAFEE
  • GATE
  • RFW.EXE
  • RAVMON.EXE
  • KILL
  • NAV
  • DUBA
  • KAV
  • KV
以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

インストール

・W32/Lovgate.p@Mが実行されると、ターゲットマシンに以下の複数のファイル(自身のコピーも複数含みます)をドロップ(作成)します。

  • c:\WINNT\system32\IEXPLORE.EXE(W32/Lovgate.p@Mのコピー:105,586バイト )
  • c:\WINNT\system32\RAVMOND.exe(W32/Lovgate.p@Mのコピー:105,586バイト )
  • c:\WINNT\system32\kernel66.dll(W32/Lovgate.p@Mのコピー:105,586バイト )
  • c:\WINNT\system32\winexe.exe(W32/Lovgate.p@Mのコピー:105,586バイト )
  • c:\WINNT\system32\winhelp.exe(W32/Lovgate.p@Mのコピー:105,586バイト )

・以下のファイルはすべてバックドアコンポーネントで、定義ファイル4339でBackdoor-AQJとして検出されます。

  • c:\WINNT\system32\lmmib20.dll(53,760バイト)
  • c:\WINNT\system32\mjdbc11.dll(53,760バイト)
  • c:\WINNT\system32\mssign30.dll(53,760バイト)
  • c:\WINNT\system32\ODBC16.dll(53,760バイト)

・以下のレジストリキーを追加して、システムの起動をフックします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows "run" = RAVMOND.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "Program In Windows" = C:\WINNT\System32\IEXPLORE.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "Protected Storage" = RUNDLL32.EXE mssign30.dll ondll_reg
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "VFW Encoder/Decoder Settings" = RUNDLL32.EXE mssign30.dll ondll_reg
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "WinHelp" = C:\WINNT\System32\WinHelp.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\runservices "SystemTra" = C:\WINNT\SysTra.exe

電子メールを介した繁殖

・W32/Lovgate.p@Mは、Microsoft OutlookおよびOutlook Expressの受信トレイ内にある未読メッセージに対して返信し、その後返信メッセージを削除します。

・W32/Lovgate.f@Mと同様に、以下のような電子メールメッセージを送信します。

件名:Re: Original subject
本文:
======
original message body
======
sender's domain account auto-reply:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
> Get your FREE sender's domain now! <

添付ファイル:(以下のいずれか)

  • the hardcore game-.pif
  • Sex in Office.rm.scr
  • Deutsch BloodPatch!.exe
  • s3msong.MP3.pif
  • Me_nude.AVI.pif
  • How to Crack all gamez.exe
  • Macromedia Flash.scr
  • SETUP.EXE
  • shakira.zip.exe
  • dreamweaver MX (crack).exe
  • StarWars2 - CloneAttack.rm.scr
  • Industry Giant II.exe
  • DSL Modem Uncapper.rar.exe
  • joke.pif
  • Britney spears nude.exe.txt.exe
  • I am For u.doc.exe

共有ネットワークによる繁殖

・W32/Lovgate.p@Mは、W32/Lovgate.f@Mのように辞書攻撃を仕掛けて、リモートシステム上のIPC$共有にアクセスしようとします。

・アクセスに成功すると、アクセス可能なすべての共有に、以下のようなさまざまなファイル名で自身をコピーします。

  • Are you looking for Love.doc.exe
  • autoexec.bat
  • The world of lovers.txt.exe
  • How To Hack Websites.exe
  • Panda Titanium Crack.zip.exe
  • Mafia Trainer!!!.exe
  • 100 free essays school.pif
  • AN-YOU-SUCK-IT.txt.pif
  • Sex_For_You_Life.JPG.pif
  • CloneCD + crack.exe
  • Age of empires 2 crack.exe
  • MoviezChannelsInstaler.exe
  • Star Wars II Movie Full Downloader.exe
  • Winrar + crack.exe
  • SIMS FullDownloader.zip.exe
  • SN Password Hacker and Stealer.exe

TOPへ戻る

感染方法

・ターゲットマシンに、上記のファイルが存在します。

・ターゲットマシンに、上記のレジストリキーが存在します。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

TOPへ戻る