製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:L
ウイルス情報
ウイルス名危険度
W32/Lovgate.q@M
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4340
対応定義ファイル
(現在必要とされるバージョン)
4396 (現在7600)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日04/03/25
発見日(米国日付)04/03/22
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Lovgate.q@MはW32/Lovgateの新しい亜種です。特徴は以下のとおりです。

  • 自身を電子メールで送信します。自身のSMTPエンジンを使用して、メッセージを作成します。電子メールの添付ファイルはZIPアーカイブです。ターゲットマシンで発見された電子メールメッセージに対し、返信メールを送信します。
  • バックドアコンポーネントをドロップ(作成)します(定義ファイル4339以降でBackDoor-AQJ として検出されます)。
  • セキュリティが不十分なリモート共有に、自身をコピーすることを試みます。連続したIPの範囲をスキャンし、アクセス可能な IPC$またはADMIN$共有を検索します。

・W32/Lovgate.q@Mのコピーは、ユーザの注意を引くような名前を付けられるか、ZIPまたはRAR アーカイブ内の名前が付けられます。ワームは、リモート共有への書き込みアクセスを試みるのに使用される、典型的なユーザ名/パスワードの組み合わせのリストを内蔵しています。

  • リモート共有へのアクセスが可能な場合、自身をNETMANAGER.EXEという名前でコピーし、リモードマシン上で自身をサービスとしてリモート実行します。
  • ターゲットマシンで共有を作成します(MEDIAという共有名)。
  • EXEファイルの拡張子をZMXに変更します。
  • 特定のプロセスを終了します。

総称による検出

・W32/Lovgate.q@Mは、定義ファイル4298以降を使用すると、 W32/Sluter.worm.genウイルスあるいは亜種として検出されます(特定のウイルス名ではなく、ウイルスの総称です)。上記の定義ファイルを使用することで、W32/Lovgate.q@MMとして検出されます。

・ワームによってドロップ(作成)されたバックドアコンポーネントは、定義ファイル4339以降を使用するとBackDoor-AQJとして検出されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・W32/Lovgate.q@Mが実行されると、さまざまなファイルがシステムにドロップ(作成)されます。以下は、ワームのコピーです(114,176バイト)。
  • %SysDir%\IEXPLORE.EXE
  • %SysDir%\kernel66.dll
  • %SysDir%\RAVMOND.exe
  • %WinDir%\SYSTRA.EXE
  • C:\COMMAND.EXE

・AUTORUN.INFファイルもC:\ドライブにドロップ(作成)され、Windowsの自動実行機能を介してCOMMAND.EXEの実行を試みます。

・以下のDLLファイルもドロップ(作成)されます(すべて同一)。以下はリモートアクセスコンポーネントです(BackDoor-AQJとして検出されます)。

  • %SysDir%\msjdbc11.dll
  • %SysDir%\MSSIGN30.DLL
  • %SysDir%\ODBC16.dll

・RARまたはZIPアーカイブ内のW32/Lovgate.q@Mのコピーも、C:\ドライブのルートにドロップ(作成)されます。例:

  • bak.RAR
  • Important.RAR
  • pass.RAR
  • setup.RAR
  • WORK.RAR
  • setup.ZIP
  • letter.ZIP

・以下のレジストリキーが追加され、システム起動時にW32/Lovgate.q@Mを実行します。

  • HKEY_CURRENT_USER\Software\Microsoft\ Windows NT\CurrentVersion\Windows "run" = RAVMOND.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "Program In Windows" = %SysDir%\IEXPLORE.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ runServices "SystemTra" = %WinDir%\SysTra.EXE

・以下のキーが追加され、システム起動時にバックドアコンポーネントを実行します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "VFW Encoder/Decoder Settings" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "Protected Storage" = RUNDLL32.EXE mssign30.dll ondll_reg

・バックドアコンポーネントもターゲットマシンでサービスとしてインストールされます。特徴は以下のとおりです。

サービス1
表示名:
_reg
ImagePath:Rundll32.exe msjdbc11.dll ondll_server
起動:自動

サービス2
表示名:
Windows Management Protocol v.0 (experimental)
説明:Windows Advanced Server。LANguardのためのスケジュールスキャンを実行します。
ImagePath:Rundll32.exe msjdbc11.dll ondll_server
起動:自動

・以下のレジストリキーはサービス情報を内蔵しています。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Protocol v.0 (experimental)

・W32/Lovgate.q@Mが自身をリモート共有にコピーできる場合、自身をリモート実行することを試みます。自身を以下のようにコピーします。

  • ADMIN$\SYSTEM32\LLSSRVER.EXE

・サービスとして自身をリモート実行します。このサービスの特徴は以下のとおりです。

表示名:Windows Management Service
ImagePath:llssrver.exe -exe_start
起動:自動

・W32/Lovgate.q@Mは、別の亜種であるW32/Lovgate.f@Mと同様に、辞書攻撃を仕掛けて、リモートシステムのIPC$共有へアクセスし、自身をコピーして実行しようとします。

・成功した場合、ワームはすべてのアクセス可能な共有に自身をコピーします。以下のファイル名のリストを使用します。

  • Thank you.doc.exe
  • 3D Flash Animator.rar.bat
  • SWF Browser2.93.txt.exe
  • Download.exe
  • Panda Crack.zip.exe
  • WinRAR V3.2.0 Beta 2.exe
  • Swish2.00.pif
  • AAdobe Photoshop7.0 creak.pif
  • You_Life.JPG.pif
  • CloneCD crack.exe
  • WinZip v9.0 Beta Build 5480 crack.exe
  • Real-DRAW PRO v3.10.exe
  • Star Wars Downloader.exe
  • HyperSnap-DX v5.20.01.exe
  • Adobe Photoshop6.0.zip.exe
  • HyperSnap-DX v4.51.01.exe

電子メールを介した繁殖

・W32/Lovgate.q@Mは、Mircosoft OutlookおよびOutlook Expressの受信トレイ内にある未読メッセージに対して以下のようなメッセージを返信し、その後メッセージを削除します。

件名:Re: オリジナルの件名
本文:
======
オリジナルのメッセージ本文
====== 
YAHOO.COM Mail auto-reply:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.


> Get your FREE YAHOO.COM Mail now! <

添付ファイル:(以下のいずれか)

  • the hardcore game-.pif
  • Sex in Office.rm.scr
  • Deutsch BloodPatch!.exe
  • s3msong.MP3.pif
  • Me_nude.AVI.pif
  • How to Crack all gamez.exe
  • Macromedia Flash.scr
  • SETUP.EXE
  • Shakira.zip.exe
  • dreamweaver MX (crack).exe
  • StarWars2 - CloneAttack.rm.scr
  • Industry Giant II.exe
  • DSL Modem Uncapper.rar.exe
  • joke.pif
  • Britney spears nude.exe.txt.exe
  • I am For u.doc.exe

・同様に自身のSMTPエンジンを使用してメッセージを作成します。

件名:(以下のいずれか)

  • hi
  • hello
  • Hello
  • Mail transaction Failed
  • mail delivery system

メッセージ本文:(以下のいずれか)

  • Mail failed. For further assistance, please contact!
  • The message contains Unicode characters and has been sent as a binary attachment.
  • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.

添付ファイル:(ランダムな文字列で作成され、以下の拡張子が付きます。)

  • EXE
  • PIF
  • SCR
  • ZIP
  • TMP
  • HTM

プロセスの終了

・また、W32/Lovgate.q@Mは、以下の文字列のリストから実行しているプロセスを検索し、検出したものを削除します。

  • rising
  • SkyNet
  • Symantec
  • McAfee
  • Gate
  • Rfw.exe
  • RavMon.exe
  • kill
  • NAV
  • Duba
  • KAV
  • KV

・W32/Lovgate.q@MはシステムのEXEファイルを検索し、それらの拡張子を*.ZMXに書き換えます。その後、オリジナルのEXEファイル名を使用して自身をコピーします。

・例:Explorer.exeはExplorer.zmxになります。その後、ワームは自身をExplorere.exeとしてコピーし、Windows Explorerが呼び出されるたびに、ワームが代わりに実行されます。

感染方法TOPへ戻る

・W32/Lovgate.q@Mは電子メールを介して繁殖します。

・セキュリティが不十分なネットワーク共有(IPC$およびADMIN$)に、自身をコピーすることを試みる場合、W32/Lovgate.q@Mは大量のネットワークトラフィックを生成します。連続したIPの範囲(ポート445)をスキャンし、アクセス可能な共有を検索します(内蔵するユーザ名/パスワードを使用したブルートフォース攻撃です)。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足