製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:L
ウイルス情報
ウイルス名危険度
W32/Lovgate.x@MM!122880
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4359
対応定義ファイル
(現在必要とされるバージョン)
4359 (現在7401)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日04/05/07
発見日(米国日付)04/05/06
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
・W32/Lovgate.x@MM!122880はW32/Lovgate.x@MMが複数圧縮された亜種です。ウイルス定義ファイル4359ではW32/Lovgate.x@MMとして検出されます。

プロアクティブな検出

  • ウイルス定義ファイル4339でBackDoor-AQJとして検出されるバックドアコンポーネントをドロップ(作成)します。
  • ウイルス定義ファイル4352以降でW32/Lovgate.x@MMとして検出される、2つの圧縮解除されたコピーをドロップ(作成)します。
特徴は以下のとおりです。
  • バックドアコンポーネント(ウイルス定義ファイル4339以降でBackDoor-AQJとして検出)をドロップ(作成)
  • セキュリティが不十分なリモート共有に自身をコピーし、連続したIPの範囲をスキャンし、アクセス可能なIPC$共有、またはADMIN$共有を検索
  • リモート共有へのアクセスに成功すると、NETMANAGER.EXEというファイル名で自身をコピーして、リモートマシンでサービスとしてリモート実行
  • ターゲットマシンに共有ファイル(ファイル名"MEDIA")を作成
  • 自身のSMTPエンジンを使用して、メッセージを作成し、自身を送信電子メールの添付ファイルはZIP圧縮ファイルの可能性があり、ターゲットマシンで見つかった電子メールへの返信メールを送信
  • EXEファイルの拡張子をZMXに変更
  • 特定のプロセスを終了
・W32/Lovgate.x@MMがドロップ(作成)するバックドアコンポーネントは、定義ファイル4339以降でBackDoor-AQJとして検出されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・W32/Lovgate.x@MMが実行されると、システムにさまざまなファイルをドロップ(作成)します。以下のファイルは、W32/Lovgate.x@MMのコピーです(122,880バイト)。
  • %SysDir%\IEXPLORE.EXE
  • %SysDir%\kernel66.dll
  • %SysDir%\hxdef.exe
  • %SysDir%\RAVMOND.exe
  • %WinDir%\SYSTRA.EXE
  • C:\COMMAND.EXE
・Windowsの自動実行機能によってCOMMAND.EXEを実行するように作成されたAUTORUN.INFファイルもすべてのドライブのルートディレクトリにドロップされます。

・また、以下の2つのファイルが%Sysdir%フォルダにドロップ(作成)されます。
  • Netmeeting.exe
  • Spollsv.exe
・両ファイルのサイズは61,440バイトです。

・以下のDLLファイル(すべて同一のファイル)もドロップ(作成)します。このファイルはリモートアクセスコンポーネントで、ウイルス定義ファイル4339以降でBackDoor-AQJとして検出されます。
  • %SysDir%\msjdbc11.dll
  • %SysDir%\mssign30.dll
  • %SysDir%\odbc16.dll
  • %SysDir%\Lmmib20.dll
・以下のファイル名で、COM、EXE、PIF、SCRのいずれかの拡張子を持つ、RARまたはZIP圧縮形式のW32/Lovgate.x@MMのコピーもC:\ドライブのルートディレクトリに追加される可能性があります。
  • c:\pass.RAR
  • c:\bak.zip
・システムの起動時にW32/Lovgate.x@MMを実行するために、以下のレジストリキーを追加します。
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows "run" = RAVMOND.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Hardware Profile" = %SysDir%\hxdef.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Microsoft Netmeeting Associates, Inc." = Netmeeting.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Program In Windows" = %SysDir%\IEXPLORE.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices "SystemTra" = %WinDir%\SysTra.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices "SystemTra" = %Sysdir%\Spollsv.exe
・以下のレジストリキーも追加して、システムの起動時にバックドアコンポーネントを実行します。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "VFW Encoder/Decoder Settings" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Protected Storage" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
・ターゲットマシンにサービスとしてバックドアコンポーネントをインストールします。特徴は以下のとおりです。

サービス1
表示名:_reg
イメージへのパス:Rundll32.exe msjdbc11.dll ondll_server
起動:自動

サービス2
表示名:Windows Management Protocol v.0 (experimental)
説明:Windows Advanced Server(LANguardのスケジュールスキャンを実行)
イメージへのパス:Rundll32.exe msjdbc11.dll ondll_server
起動:自動

・以下のレジストリキーにサービス情報を格納します。
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Protocol v.0 (experimental)
ネットワークを介した繁殖

・リモート共有にW32/Lovgate.x@MMのコピーを作成すると、自身をリモート実行します。以下のように自身をコピーします。
  • ADMIN$\SYSTEM32\NETMANAGER.EXE
・そして、サービスとして自身をリモート実行します。このサービスの特徴は、以下のとおりです。

表示名:Windows Management Network Service Extensions
イメージへのパス:NetManager.exe -exe_start
起動:自動

電子メールを介した繁殖

・W32/Lovgate.x@MMは、Microsoft OutlookおよびOutlook Expressの受信トレイにある未読メッセージに以下の電子メールで返信します。返信後に未読メッセージを削除します。

添付ファイル:(以下のいずれか)
  • the hardcore game-.pif
  • ex in Office.rm.scr
  • Deutsch BloodPatch!.exe
  • s3msong.MP3.pif
  • e_nude.AVI.pif
  • How to Crack all gamez.exe
  • Macromedia Flash.scr
  • SETUP.EXE
  • Shakira.zip.exe
  • dreamweaver MX (crack).exe
  • StarWars2 - CloneAttack.rm.scr
  • Industry Giant II.exe
  • DSL Modem Uncapper.rar.exe
  • joke.pif
  • Britney spears nude.exe.txt.exe
  • I am For u.doc.exe

件名:Re:(オリジナルメッセージの件名)
・自身のSMTPエンジンを使用してメッセージを作成します。

件名:(以下のいずれか)
  • hi
  • hello
  • Hello
  • Mail transaction Failed
  • mail delivery system
  • Server Report
  • Status
本文:(以下のいずれか)
  • Mail failed. For further assistance, please contact!
  • The message contains Unicode characters and has been sent as a binary attachment.
  • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
添付ファイル:(以下の拡張子を使用して、ランダムに作成)
  • EXE
  • PIF
  • SCR
  • ZIP
プロセスの終了
・W32/Lovgate.x@MMは実行中のプロセスで以下の文字列を検索し、該当するプロセスを強制終了します。
  • rising
  • SkyNet
  • Symantec
  • McAfee
  • Gate
  • Rfw.exe
  • RavMon.exe
  • kill
  • NAV
  • Duba
  • KAV
  • KV
・システムでEXEファイルを検索し、拡張子を*.ZMXに変更します。次に、オリジナルのEXEファイル名で自身をコピーします。

・たとえば、Explorer.exeはExplorer.zmxになります。次に、Explorer.exeとして自身をコピーし、Windows Explorerが呼び出されるたびに、W32/Lovgate.x@MMが実行されるようにします。

感染方法TOPへ戻る
・W32/Lovgate.x@MMは、電子メールを介して繁殖します。

・セキュリティが不十分なネットワーク共有(IPC$およびADMIN$)に自身をコピーする際に、W32/Lovgate.x@MMは膨大なネットワークトラフィックを発生させます。連続したIPの範囲を(ポート445で)スキャンし、アクセス可能な共有を検索します(内蔵するユーザ名/パスワードで総当たり攻撃を仕掛けます)。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足