|
|
ウイルス情報| ウイルス名 | 危険度 | | W32/Lovgate.x@MM!122880 | |
|
|
|
| ウイルスの特徴 | TOPに戻る | |
・W32/Lovgate.x@MM!122880はW32/Lovgate.x@MMが複数圧縮された亜種です。ウイルス定義ファイル4359ではW32/Lovgate.x@MMとして検出されます。
プロアクティブな検出
- ウイルス定義ファイル4339でBackDoor-AQJとして検出されるバックドアコンポーネントをドロップ(作成)します。
- ウイルス定義ファイル4352以降でW32/Lovgate.x@MMとして検出される、2つの圧縮解除されたコピーをドロップ(作成)します。
特徴は以下のとおりです。
- バックドアコンポーネント(ウイルス定義ファイル4339以降でBackDoor-AQJとして検出)をドロップ(作成)
- セキュリティが不十分なリモート共有に自身をコピーし、連続したIPの範囲をスキャンし、アクセス可能なIPC$共有、またはADMIN$共有を検索
- リモート共有へのアクセスに成功すると、NETMANAGER.EXEというファイル名で自身をコピーして、リモートマシンでサービスとしてリモート実行
- ターゲットマシンに共有ファイル(ファイル名"MEDIA")を作成
- 自身のSMTPエンジンを使用して、メッセージを作成し、自身を送信電子メールの添付ファイルはZIP圧縮ファイルの可能性があり、ターゲットマシンで見つかった電子メールへの返信メールを送信
- EXEファイルの拡張子をZMXに変更
- 特定のプロセスを終了
・W32/Lovgate.x@MMがドロップ(作成)するバックドアコンポーネントは、定義ファイル4339以降でBackDoor-AQJとして検出されます。
|
|
| 以下の症状が見られる場合、このウイルスに感染している可能性があります。 | TOPへ戻る |
・W32/Lovgate.x@MMが実行されると、システムにさまざまなファイルをドロップ(作成)します。以下のファイルは、W32/Lovgate.x@MMのコピーです(122,880バイト)。
- %SysDir%\IEXPLORE.EXE
- %SysDir%\kernel66.dll
- %SysDir%\hxdef.exe
- %SysDir%\RAVMOND.exe
- %WinDir%\SYSTRA.EXE
- C:\COMMAND.EXE
・Windowsの自動実行機能によってCOMMAND.EXEを実行するように作成されたAUTORUN.INFファイルもすべてのドライブのルートディレクトリにドロップされます。
・また、以下の2つのファイルが%Sysdir%フォルダにドロップ(作成)されます。
- Netmeeting.exe
- Spollsv.exe
・両ファイルのサイズは61,440バイトです。
・以下のDLLファイル(すべて同一のファイル)もドロップ(作成)します。このファイルはリモートアクセスコンポーネントで、ウイルス定義ファイル4339以降でBackDoor-AQJとして検出されます。
- %SysDir%\msjdbc11.dll
- %SysDir%\mssign30.dll
- %SysDir%\odbc16.dll
- %SysDir%\Lmmib20.dll
・以下のファイル名で、COM、EXE、PIF、SCRのいずれかの拡張子を持つ、RARまたはZIP圧縮形式のW32/Lovgate.x@MMのコピーもC:\ドライブのルートディレクトリに追加される可能性があります。
・システムの起動時にW32/Lovgate.x@MMを実行するために、以下のレジストリキーを追加します。
- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows "run" = RAVMOND.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Hardware Profile" = %SysDir%\hxdef.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Microsoft Netmeeting Associates, Inc." = Netmeeting.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Program In Windows" = %SysDir%\IEXPLORE.EXE
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices "SystemTra" = %WinDir%\SysTra.EXE
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices "SystemTra" = %Sysdir%\Spollsv.exe
・以下のレジストリキーも追加して、システムの起動時にバックドアコンポーネントを実行します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "VFW Encoder/Decoder Settings" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Protected Storage" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
・ターゲットマシンにサービスとしてバックドアコンポーネントをインストールします。特徴は以下のとおりです。
サービス1
表示名:_reg
イメージへのパス:Rundll32.exe msjdbc11.dll ondll_server
起動:自動
サービス2
表示名:Windows Management Protocol v.0 (experimental)
説明:Windows Advanced Server(LANguardのスケジュールスキャンを実行)
イメージへのパス:Rundll32.exe msjdbc11.dll ondll_server
起動:自動
・以下のレジストリキーにサービス情報を格納します。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Protocol v.0 (experimental)
ネットワークを介した繁殖
・リモート共有にW32/Lovgate.x@MMのコピーを作成すると、自身をリモート実行します。以下のように自身をコピーします。
- ADMIN$\SYSTEM32\NETMANAGER.EXE
・そして、サービスとして自身をリモート実行します。このサービスの特徴は、以下のとおりです。
表示名:Windows Management Network Service Extensions
イメージへのパス:NetManager.exe -exe_start
起動:自動
電子メールを介した繁殖
・W32/Lovgate.x@MMは、Microsoft OutlookおよびOutlook Expressの受信トレイにある未読メッセージに以下の電子メールで返信します。返信後に未読メッセージを削除します。
添付ファイル:(以下のいずれか)
- the hardcore game-.pif
- ex in Office.rm.scr
- Deutsch BloodPatch!.exe
- s3msong.MP3.pif
- e_nude.AVI.pif
- How to Crack all gamez.exe
- Macromedia Flash.scr
- SETUP.EXE
- Shakira.zip.exe
- dreamweaver MX (crack).exe
- StarWars2 - CloneAttack.rm.scr
- Industry Giant II.exe
- DSL Modem Uncapper.rar.exe
- joke.pif
- Britney spears nude.exe.txt.exe
- I am For u.doc.exe
件名:Re:(オリジナルメッセージの件名)
・自身のSMTPエンジンを使用してメッセージを作成します。
件名:(以下のいずれか)
- hi
- hello
- Hello
- Mail transaction Failed
- mail delivery system
- Server Report
- Status
本文:(以下のいずれか)
- Mail failed. For further assistance, please contact!
- The message contains Unicode characters and has been sent as a binary attachment.
- It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
添付ファイル:(以下の拡張子を使用して、ランダムに作成)
プロセスの終了
・W32/Lovgate.x@MMは実行中のプロセスで以下の文字列を検索し、該当するプロセスを強制終了します。
- rising
- SkyNet
- Symantec
- McAfee
- Gate
- Rfw.exe
- RavMon.exe
- kill
- NAV
- Duba
- KAV
- KV
・システムでEXEファイルを検索し、拡張子を*.ZMXに変更します。次に、オリジナルのEXEファイル名で自身をコピーします。
・たとえば、Explorer.exeはExplorer.zmxになります。次に、Explorer.exeとして自身をコピーし、Windows Explorerが呼び出されるたびに、W32/Lovgate.x@MMが実行されるようにします。
|
|
| 感染方法 | TOPへ戻る |
・W32/Lovgate.x@MMは、電子メールを介して繁殖します。
・セキュリティが不十分なネットワーク共有(IPC$およびADMIN$)に自身をコピーする際に、W32/Lovgate.x@MMは膨大なネットワークトラフィックを発生させます。連続したIPの範囲を(ポート445で)スキャンし、アクセス可能な共有を検索します(内蔵するユーザ名/パスワードで総当たり攻撃を仕掛けます)。
|
|
|
|
|  |
