製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:L
ウイルス情報
ウイルス名危険度
W32/Lovgate.x@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4348
対応定義ファイル
(現在必要とされるバージョン)
4374 (現在7513)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日04/04/06
発見日(米国日付)04/04/04
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/27RDN/Generic ...
07/27W32/Sdbot.wo...
07/27RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7513
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
--2004年5月7日更新情報

この亜種の新しいバージョンを入手しました(122,880バイト)。
W32/Lovgate.x@MMは4359以上のウイルス定義ファイルで、圧縮ファイルを有効にしてスキャンするとW32/Lovgate.x@MMとして検出されます。


・W32/Lovgate.x@MMはW32/Lovgateの新しい亜種です。このウイルスの特徴は、以下のとおりです。

  • バックドアコンポーネントをドロップ(作成)します(定義ファイル4339以降でBackDoor-AQJ として検出されます)。
  • セキュリティの不十分なリモート共有に自身のコピーを試み、連続したIPアドレス範囲をスキャンして、アクセス可能なIPC$またはADMIN$共有を検索します。
    W32/Lovgate.x@MMのコピーは、ユーザの気を引く名前が付けられるか、ZIPあるいはRARアーカイブ内の名前が付けられます。リモート共有に書き込みをする際に使用する、典型的なユーザー名/パスワードの組み合わせリストを内蔵しています。
  • W32/Lovgate.x@MMがリモート共有にアクセスできる場合、NETMANAGER.EXEとして自身をコピーし、リモートマシンのサービスとして自身をリモートで実行します。
  • ターゲットマシン上に共有を作成します(共有名はMEDIA) 。
  • 自身のSMTPエンジンを使用してメッセージを作成し、送信します。電子メールの添付ファイルがZIP形式の場合があります。ターゲットマシンで収集したメッセージを送信するために、返信メールを送ります。
  • EXEファイルの拡張子をZMXに変更します。
  • 特定のプロセスを終了します。

・W32/Lovgate.x@MMによってドロップ(作成)されたバックドアコンポーネントは、定義ファイル4339以降でBackDoor-AQJとして検出されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・セキュリティの不十分なネットワーク共有(IPC$およびADMIN$)に自身をコピーする際に、W32/Lovgate.x@MMは大量のトラフィックを発生します。連続するIPアドレス範囲(ポート445で)をスキャンしてアクセス可能な共有を検索します(内蔵しているユーザー名/パスワードを使用して強引に検索)。

・W32/Lovgate.x@MMは電子メールを介して繁殖します。

感染方法TOPへ戻る
・W32/Lovgate.x@MMが実行されると、さまざまなファイルがシステムにドロップ(作成)されます。以下はW32/Lovgate.x@MM(128,000バイト)のコピーです。
  • %SysDir%\IEXPLORE.EXE
  • %SysDir%\kernel66.dll
  • %SysDir%\hxdef.exe
  • %SysDir%\RAVMOND.exe
  • %WinDir%\SYSTRA.EXE
  • C:\COMMAND.EXE

・AUTORUN.INFファイルもCドライブにドロップ(作成)され、Windowsの自動実行機能でCOMMAND.EXEを実行します。

・以下のDLL(すべて同一)もドロップ(作成)されます。これはリモートアクセスコンポーネント(BackDoor-AQJとして検出)です。

  • %SysDir%\msjdbc11.dll
  • %SysDir%\MSSIGN30.DLL
  • %SysDir%\ODBC16.dll
  • %SysDir%\Lmmib20.dll

・RARあるいはZIPアーカイブにあるW32/Lovgate.x@MMのコピー(COM、EXE、PIF、あるいはSCRの拡張子と、以下のファイル名の1つを組み合わせたもの)が、Cドライブのルートに追加される場合があります。コピーの例。

  • c:\pass.RAR
  • c:\bak.zip

・システム起動時にW32/Lovgate.x@MMを実行するために、以下のレジストリキーが追加されます。

  • HKEY_CURRENT_USER\Software\Microsoft\ Windows NT\CurrentVersion\Windows "run" = RAVMOND.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "Hardware Profile" = %SysDir%\hxdef.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "Microsoft Netmeeting Assoicates, Inc." = Netmeeting .exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "Program In Windows" = %SysDir%\IEXPLORE.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ runServices "SystemTra" = %WinDir%\SysTra.EXE

・システムの起動時にバックドアコンポーネントを実行するために、以下のレジストリキーが追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "VFW Encoder/Decoder Settings" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "Protcted Storage" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg

・このバックドアコンポーネントは、ターゲットマシン上にサービスとしてもインストールされます。特徴は以下のとおりです。

サービス1
・表示名:
_reg
・ImagePath: Rundll32.exe msjdbc11.dll ondll_server
・起動:自動

サービス2
・表示名:
Windows Management Protocol v.0(実験では)
・説明:Windows Advanced Server。スケジュールされたLANguardのスキャンを実施。
・ImagePath: Rundll32.exe msjdbc11.dll ondll_server
・起動:自動

・以下のレジストリキーには、サービスの情報が格納されています。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows

Windows Management Protocol v.0(経験上)

・リモート共有に自身をコピーできる場合、W32/Lovgate.x@MMはリモートで自身を実行します。自身をコピーすることで以下のファイルを実行します。

  • ADMIN$\SYSTEM32\NETMANAGER.EXE

・上記のファイルをサービスとしてリモートで実行します。W32/Lovgate.x@MMの特徴は以下のとおりです。

・表示名: Windows Management Network Service Extensions
・ImagePath: NetManager.exe -exe_start
・起動:自動

電子メールを介した繁殖

・W32/Lovgate.x@MMは、Microsoft OutlookおよびOutlook Expressのインボックスにある未読メッセージに応答を返し、その後、メッセージを削除します。

件名: Re: Original subject
本文:

======
オリジナルメッセージ 本文
====== YAHOO.COM Mail auto-reply:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.


> Get your FREE YAHOO.COM Mail now! <

・自身のSMTPエンジンを使用して、メッセージを作成します。

・件名は以下のいずれかです。

  • hi
  • hello
  • Hello
  • Mail transaction Failed
  • mail delivery system

・メッセージの本文は以下のいずれかです。

  • Mail failed. For further assistance, please contact!
  • The message contains Unicode characters and has been sent as a binary attachment.
  • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.

・添付ファイル:(以下の拡張子を持つ、ランダムに作成された文字列です。)

  • EXE
  • PIF
  • SCR
  • ZIP

プロセスの停止

・また、W32/Lovgate.x@MMは以下の文字列リストの実行プロセスを検索して停止します。

  • rising
  • SkyNet
  • Symantec
  • McAfee
  • Gate
  • Rfw.exe
  • RavMon.exe
  • kill
  • NAV
  • Duba
  • KAV
  • KV

・W32/Lovgate.x@MMはシステム上のEXEファイルを検索し、拡張子を*.ZMXに変更します。次に、オリジナルのEXEファイル名で自身をコピーします。

・例:Explorer.exeはExplorer.zmxになります。次に、Windows Explorerが起動されるたびにW32/Lovgate.x@MMが替わって実行されるように、自身をExplorere.exeとしてコピーします。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足