・W32/Lovgate.q@Mが実行されると、さまざまなファイルがシステムにドロップ(作成)されます。以下は、ワームのコピーです(114,176バイト)。
- %SysDir%\IEXPLORE.EXE
- %SysDir%\kernel66.dll
- %SysDir%\RAVMOND.exe
- %WinDir%\SYSTRA.EXE
- C:\COMMAND.EXE
・AUTORUN.INFファイルもC:\ドライブにドロップ(作成)され、Windowsの自動実行機能を介してCOMMAND.EXEの実行を試みます。
・以下のDLLファイルもドロップ(作成)されます(すべて同一)。以下はリモートアクセスコンポーネントです(BackDoor-AQJとして検出されます)。
- %SysDir%\msjdbc11.dll
- %SysDir%\MSSIGN30.DLL
- %SysDir%\ODBC16.dll
・RARまたはZIPアーカイブ内のW32/Lovgate.q@Mのコピーも、C:\ドライブのルートにドロップ(作成)されます。例:
- bak.RAR
- Important.RAR
- pass.RAR
- setup.RAR
- WORK.RAR
- setup.ZIP
- letter.ZIP
・以下のレジストリキーが追加され、システム起動時にW32/Lovgate.q@Mを実行します。
- HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows
"run" = RAVMOND.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "Program In Windows" = %SysDir%\IEXPLORE.EXE
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
runServices "SystemTra" = %WinDir%\SysTra.EXE
・以下のキーが追加され、システム起動時にバックドアコンポーネントを実行します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "VFW Encoder/Decoder Settings" =
RUNDLL32.EXE MSSIGN30.DLL ondll_reg
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "Protected Storage" = RUNDLL32.EXE mssign30.dll ondll_reg
・バックドアコンポーネントもターゲットマシンでサービスとしてインストールされます。特徴は以下のとおりです。
サービス1
表示名:_reg
ImagePath:Rundll32.exe msjdbc11.dll ondll_server
起動:自動
サービス2
表示名:Windows Management Protocol v.0 (experimental)
説明:Windows Advanced Server。LANguardのためのスケジュールスキャンを実行します。
ImagePath:Rundll32.exe msjdbc11.dll ondll_server
起動:自動
・以下のレジストリキーはサービス情報を内蔵しています。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows
Management Protocol v.0 (experimental)
・W32/Lovgate.q@Mが自身をリモート共有にコピーできる場合、自身をリモート実行することを試みます。自身を以下のようにコピーします。
- ADMIN$\SYSTEM32\LLSSRVER.EXE
・サービスとして自身をリモート実行します。このサービスの特徴は以下のとおりです。
表示名:Windows Management Service
ImagePath:llssrver.exe -exe_start
起動:自動
・W32/Lovgate.q@Mは、別の亜種であるW32/Lovgate.f@Mと同様に、辞書攻撃を仕掛けて、リモートシステムのIPC$共有へアクセスし、自身をコピーして実行しようとします。
・成功した場合、ワームはすべてのアクセス可能な共有に自身をコピーします。以下のファイル名のリストを使用します。
- Thank you.doc.exe
- 3D Flash Animator.rar.bat
- SWF Browser2.93.txt.exe
- Download.exe
- Panda Crack.zip.exe
- WinRAR V3.2.0 Beta 2.exe
- Swish2.00.pif
- AAdobe Photoshop7.0 creak.pif
- You_Life.JPG.pif
- CloneCD crack.exe
- WinZip v9.0 Beta Build 5480 crack.exe
- Real-DRAW PRO v3.10.exe
- Star Wars Downloader.exe
- HyperSnap-DX v5.20.01.exe
- Adobe Photoshop6.0.zip.exe
- HyperSnap-DX v4.51.01.exe
電子メールを介した繁殖
・W32/Lovgate.q@Mは、Mircosoft OutlookおよびOutlook Expressの受信トレイ内にある未読メッセージに対して以下のようなメッセージを返信し、その後メッセージを削除します。
件名:Re: オリジナルの件名
本文:
======
オリジナルのメッセージ本文
======
YAHOO.COM Mail
auto-reply:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
> Get your FREE YAHOO.COM Mail now! <
添付ファイル:(以下のいずれか)
- the hardcore game-.pif
- Sex in Office.rm.scr
- Deutsch BloodPatch!.exe
- s3msong.MP3.pif
- Me_nude.AVI.pif
- How to Crack all gamez.exe
- Macromedia Flash.scr
- SETUP.EXE
- Shakira.zip.exe
- dreamweaver MX (crack).exe
- StarWars2 - CloneAttack.rm.scr
- Industry Giant II.exe
- DSL Modem Uncapper.rar.exe
- joke.pif
- Britney spears nude.exe.txt.exe
- I am For u.doc.exe
・同様に自身のSMTPエンジンを使用してメッセージを作成します。
件名:(以下のいずれか)
- hi
- hello
- Hello
- Mail transaction Failed
- mail delivery system
メッセージ本文:(以下のいずれか)
- Mail failed. For further assistance, please contact!
- The message contains Unicode characters and has been sent as a binary attachment.
- It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
添付ファイル:(ランダムな文字列で作成され、以下の拡張子が付きます。)
プロセスの終了
・また、W32/Lovgate.q@Mは、以下の文字列のリストから実行しているプロセスを検索し、検出したものを削除します。
- rising
- SkyNet
- Symantec
- McAfee
- Gate
- Rfw.exe
- RavMon.exe
- kill
- NAV
- Duba
- KAV
- KV
・W32/Lovgate.q@MはシステムのEXEファイルを検索し、それらの拡張子を*.ZMXに書き換えます。その後、オリジナルのEXEファイル名を使用して自身をコピーします。
・例:Explorer.exeはExplorer.zmxになります。その後、ワームは自身をExplorere.exeとしてコピーし、Windows Explorerが呼び出されるたびに、ワームが代わりに実行されます。
