ウイルス情報

ウイルス名 危険度

W32/Lovgate.s@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4342
対応定義ファイル
(現在必要とされるバージョン)
4374 (現在7628)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 04/04/12
発見日(米国日付) 04/03/23
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Lovgate.s@MMは、W32/Lovgateの新しい亜種です。これまでに発見された亜種に似ており、以下のような特徴があります。

  • 自身を送信(自身のSMTPエンジンを使用して、メッセージを作成)。電子メールの添付ファイルは、ZIPアーカイブ。ターゲットマシンで発見される電子メールへの返信メールで送信。
  • バックドアコンポーネント(定義ファイル4339以降でBackDoor-AQJとして検出)をドロップ(作成)。
  • セキュリティが不十分なリモート共有に自身をコピー(連続したIPの範囲をスキャンして、アクセス可能なIPC$共有、またはADMIN$共有を検索)

    このようなW32/Lovgate.s@MMのコピーにはユーザの注意を引くような名前がつけれられたり、ZIPアーカイブ形式やRARアーカイブ形式で作成されたりします。W32/Lovgate.s@MMは、典型的なユーザ名とパスワードの組み合わせのリストを内蔵しており、リモート共有への書き込みアクセスに使用します。

  • リモート共有へのアクセスに成功すると、NETMANAGER.EXEというファイル名で自身をコピーして、リモートマシンでサービスとしてリモート実行
  • ターゲットマシンに共有ファイル(ファイル名"MEDIA")を作成
  • EXEファイルの拡張子をZMXに変更
  • 特定プロセスの終了

総称による検出

・W32/Lovgate.s@MMは、圧縮ファイルのスキャンを有効にして定義ファイル4298以降を使用すると、W32/Sluter.worm.genウイルスまたはその亜種として検出されます(特定のウイルス名ではなく、ウイルスの総称です)。上記の定義ファイルでは、W32/Lovgate.s@MMとして検出されます。

・W32/Lovgate.s@MMがドロップ(作成)するバックドアコンポーネントは、定義ファイル4339以降でBackDoor-AQJとして検出されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・W32/Lovgate.s@MMが実行されると、システムにさまざまなファイルをドロップ(作成)します。以下のファイルは、W32/Lovgate.s@MMのコピーです(235,008バイト)。
  • %SysDir%\IEXPLORE.EXE
  • %SysDir%\kernel66.dll
  • %SysDir%\RAVMOND.exe
  • %WinDir%\SYSTRA.EXE
  • %WinDir%\MEDIA.EXE
  • C:\command.pif

・Windowsの自動実行機能によってCOMMAND.EXEファイルを実行するように作成されたAUTORUN.INFファイルもC:\ドライブにドロップ(作成)します。

・以下のファイル名でKazaa共有フォルダに自身をコピーします。

  • c:\Program Files\KaZaA Lite\My Shared Folder\frghc.pif

・以下のDLLファイル(すべて同一のファイル)もドロップ(作成)します。このファイルはリモートアクセスコンポーネントで、BackDoor-AQJとして検出されます。

  • %SysDir%\LMMIB20.DLL
  • %SysDir%\msjdbc11.DLL
  • %SysDir%\msjdbc11.DLL
  • %SysDir%\msjdbc11.DLL
  • %SysDir%\msjdbc11.DLL
  • %SysDir%\MSSIGN30.DLL
  • %SysDir%\ODBC16.dll

・以下のファイル名で、RARアーカイブ形式やZIPアーカイブ形式のW32/Lovgate.s@MMのコピーもC:\ドライブのルートに追加します。

  • bak.RAR
  • Important.ZIP
  • pass.RAR
  • setup.RAR
  • WORK.RAR
  • setup.ZIP
  • letter.ZIP

・システムの起動時にW32/Lovgate.s@MMを実行するために、以下のレジストリキーを追加します。

  • HKEY_CURRENT_USER\Software\Microsoft\ Windows NT\CurrentVersion\Windows "run" = RAVMOND.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion "Program In Windows" = %SysDir%\IEXPLORE.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ runServices "SystemTra" = %WinDir%\SysTra.EXE

・以下のレジストリキーも追加して、システムの起動時にバックドアコンポーネントを実行します。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\_reg "ImagePath" = Rundll32.exe msjdbc11.dll ondll_server
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run "VFW Encoder/Decoder Settings" = (data too large: 260 bytes)
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \_reg "ImagePath" = Rundll32.exe msjdbc11.dll ondll_server

・ターゲットマシンにサービスとしてバックドアコンポーネントをインストールします。特徴は以下のとおりです。

サービス 1
表示名:
_reg
イメージへのパス:Rundll32.exe msjdbc11.dll ondll_server
起動:自動

サービス 2
表示名:
Windows Management Protocol v.0 (experimental)
説明:Windows Advanced Server(LANguardのスケジュールスキャンを実行)
イメージへのパス:Rundll32.exe msjdbc11.dll ondll_server
起動:自動

・以下のレジストリキーにサービス情報を格納します。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Protocol v.0 (experimental)

・リモート共有にW32/Lovgate.s@MMのコピーを作成すると、自身をリモート実行します。以下のように自身をコピーします。

  • ADMIN$\SYSTEM32\NetManager32.exe

・そして、サービスとして自身をリモート実行します。このサービスの特徴は、以下のとおりです。

表示名:Management Service Extension
イメージへのパス:NetManager32.exe -exe_start
起動:自動

・辞書攻撃を仕掛けて、リモートシステム上のIPC$共有へのアクセスを取得しようとします。以下のパスワードを使用します。

  • Guest
  • Administrator
  • zxcv
  • yxcv
  • xxx
  • xp
  • win
  • test123
  • test
  • temp123
  • temp
  • sybase
  • super
  • sex
  • secret
  • pwd
  • pw123
  • pw
  • pc
  • Password
  • owner
  • oracle
  • mypc123
  • mypc
  • mypass123
  • mypass
  • love
  • login
  • Login
  • Internet
  • home
  • godblessyou
  • god
  • enable
  • database
  • computer
  • alpha
  • admin123
  • Admin
  • abcd
  • aaa
  • a
  • 88888888
  • 2600
  • 2003
  • 2002
  • 123asd
  • 123abc
  • 123456789
  • 1234567
  • 123123
  • 121212
  • 12
  • 11111111
  • 110
  • 007
  • 00000000
  • 000000
  • 0
  • pass
  • 54321
  • 12345
  • password
  • passwd
  • server
  • sql
  • !@#$%^&*
  • !@#$%^&
  • !@#$%^
  • !@#$%
  • asdfgh
  • asdf
  • !@#$
  • 1234
  • 111
  • 1
  • root
  • abc123
  • 12345678
  • abcdefg
  • abcdef
  • abc
  • 888888
  • 666666
  • 111111
  • admin
  • administrator
  • guest
  • 654321
  • 123456
  • 321
  • 123

・アクセスに成功すると、以下のファイル名ですべてのアクセス可能な共有に自身をコピーします。

  • NTDETECT.COM
  • command.com
  • PC-Cillin readme.txt.exe
  • Norton Antivirus crack.exe
  • AMD 2600 test.zip.exe
  • install.exe
  • Prescott.scr
  • 256MFX5600.txt.pif
  • picture.JPG.pif
  • GBA-Shell.exe
  • SetUp.exe
  • ReadMe.exe
  • Zealot.exe
  • Backup Made Simple 5.1.58 crack.exe
  • Zealot All Video Splitter 1.1.9.zip.exe
  • CD-Cover Editor 2.6.exe

電子メールを介した繁殖

・W32/Lovgate.s@MMは、Microsoft OutlookおよびOutlook Expressの受信トレイにある未読メッセージに以下の電子メールで返信します。返信後に未読メッセージを削除します。

件名:Re:(オリジナルメッセージの件名)
本文:

======
(オリジナルメッセージの本文)
======
YAHOO.COM Mail auto-reply:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.


> Get your FREE YAHOO.COM Mail now! <

添付ファイル:(以下のいずれか)

  • the hardcore game-.pif
  • Sex in Office.rm.scr
  • Deutsch BloodPatch!.exe
  • s3msong.MP3.pif
  • Me_nude.AVI.pif
  • How to Crack all gamez.exe
  • Macromedia Flash.scr
  • SETUP.EXE
  • Shakira.zip.exe
  • dreamweaver MX (crack).exe
  • StarWars2 - CloneAttack.rm.scr
  • Industry Giant II.exe
  • DSL Modem Uncapper.rar.exe
  • joke.pif
  • Britney spears nude.exe.txt.exe
  • I am For u.doc.exe

・自身のSMTPエンジンを使用してメッセージを作成します。

件名:(以下のいずれか)

  • hi
  • hello
  • Hello
  • Mail transaction Failed
  • mail delivery system

本文:(以下のいずれか)

  • Mail failed. For further assistance, please contact!
  • The message contains Unicode characters and has been sent as a binary attachment.
  • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.

添付ファイル:(以下の拡張子を使用して、ランダムに作成)

  • EXE
  • PIF
  • SCR
  • ZIP
  • RAR

プロセスの終了

・W32/Lovgate.s@MMは実行中のプロセスで以下の文字列を検索し、該当するプロセスを強制終了します。

  • rising
  • SkyNet
  • Symantec
  • McAfee
  • Gate
  • Rfw.exe
  • RavMon.exe
  • kill
  • NAV
  • Duba
  • KAV
  • KV
  • rb

・システムでEXEファイルを検索し、拡張子を*.ZMXに変更します。次に、オリジナルのEXEファイル名で自身をコピーします。

・以下のレジストリキーを作成して、EXEファイルを実行する前に自身を実行します。

  • HKEY_CLASSES_ROOT\exefile\shell\open\command "(デフォルト)" = %SYSDIR%\Media32.exe "%1" %*
  • TOPへ戻る

感染方法

・W32/Lovgate.s@MMは、電子メールを介して繁殖します。

・セキュリティが不十分な共有(IPC$およびADMIN$)へ自身をコピーする際に、W32/Lovgate.s@MMは膨大なネットワークトラフィックを発生させます。連続したIPの範囲を(ポート445で)スキャンして、アクセス可能な共有を検索します(内蔵するユーザ名/パスワードでブルートフォース攻撃を仕掛けます)。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る