ウイルス情報

ウイルス名 危険度

W32/Lovgate@M

企業ユーザ: 低「要注意」
個人ユーザ: 低「要注意」
種別 ワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4266
対応定義ファイル
(現在必要とされるバージョン)
4374 (現在7656)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 BackDoor-AQJ :I-Worm.Supnot.c (AVP) :W32.HLLW.Lovgate.C@mm (NAV) :W32/Lovgate.c@M :WORM_LOVGATE.C (Trend)
情報掲載日 03/02/25
発見日(米国日付) 03/02/19
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

2003年2月26日更新情報

ウイルス駆除ツール「スティンガー」がW32/Lovgate@Mウイルスに対応しました。

このワームは4249DATファイルでW32/Lovgate.c@Mとして検出されます。

「ウイルス絵とき理解」でこのウイルスをマンガで説明。

・これはメール送信型ワームで、ネットワーク共有を介して繁殖します。また、リモートアクセス型トロイの木馬を落とし込みます。このワームは感染マシンにドロップ(作成)するファイルや送信するメッセージが同じものであるという点でW32/Plage.worm ウイルスと類似しています。ただ、W32/PlageはBorlandCと共に作成され、W32/Lovgate ウイルスはMSVCと共に作成されるという点で、この2つのウイルスは大きく異なります。

メーリングコンポーネント

・このワームは自身のSMTPエンジンとsmtp.163.comサーバを利用して、ユーザの受信トレイ(Outlook, Outlook Express)内のすべての新着メールに対して返信することができます。また、自身を以下に記載するようないずれかの名前でメールに添付します。

●fun.exe
●images.exe
●news_doc.exe
●s3msong.exe
●pics.exe
●billgt.exe
●midsong.exe
●PsPGame.exe
●hamster.exe
●SETUP.EXE
●tamagotxi.exe
●joke.exe
●docs.exe
●serachURL.exe
●card.EXE
●pics.exe

・このような繁殖方法は'@M' サフィックスを反映しており、一般的な大量メール送信ウイルスよりも繁殖のスピードは遅いです。

・受信トレイに差出人が'???@wherever.com' からのメッセージがある場合、ワームは以下のように返信します。

'name' wrote:
====

> Message body

====

・Wherever.com account auto-reply:

' I'll try to reply as soon as possible.
Take a look at the attachment and send me your opinion!'
Get your Free wherever.com account now! <


・メールへの返信の他に、ワーム内の文字列は%Personal%シェルフォルダーの*.HT*ファイル内にあるメールアドレスを詐取する場合があります。このメールの受信者が受け取るメッセージの例を下に挙げます。:


件名: Cracks!
本文: Check our list and mail your requests!
添付ファイル:: CrkList.exe

または

件名: The patch
本文: I think all will work fine.
添付ファイル:: Patch.exe

または

件名: Last Update
本文: This is the last cumulative update.
添付ファイル: LUPdate.exe

または

件名: Do not release
本文: This is the pack ;)
添付ファイル: Pack.exe

または

件名: Beta
本文: Send reply if you want to be official beta tester.
添付ファイル: _SetupB.exe

または

件名: Help
本文: I'm going crazy... please try to find the bug!
添付ファイル: Source.exe

または

件名: Evaluation copy
本文: Test it 30 days for free.
添付ファイル: Setup.exe

または

件名: Pr0n!
本文: Adult content!!! Use with parental advisory.
添付ファイル: Sex.exe

または

件名: Roms
本文: Test this ROM! IT ROCKS!
添付ファイル: Roms.exe

または

件名: Documents
本文: Send me your comments...
添付ファイル:Docs.exe

ワームコンポーネント

・W32/Lovgate@Mは、共有ネットワークを介しても繁殖します。共有フォルダ(サブフォルダも含む)を検索して、以下のファイル名で自身を再帰的にコピーします。

●fun.exe
●images.exe
●news_doc.exe
●s3msong.exe
●pics.exe
●billgt.exe
●midsong.exe
●PsPGame.exe
●hamster.exe
●SETUP.EXE
●tamagotxi.exe
●joke.exe
●docs.exe
●serachURL.exe
●card.EXE
●pics.exe

バックドアコンポーネント

・ワームは以下のファイル名でトロイの木馬コンポーネント(77,824 バイト)を落とし込みます。
ファイル名:ILY.DLL, 1.DLL, REG.DLL , TASK.DLL

・ターゲットマシンのポート10168のみならず、NT/2K/XP 上のポーと1192を開いて、電子メールでターゲットマシンの感染をハッカーに通知します。下はこの通知受信者のアドレスだとみなされます。

hacker117@163.com
hello_dll@163.com

・感染マシンに関する情報も同様にハッカーに送信されます。この情報はシステム情報を含む場合もあります。このバックドアは4249DATファイルでBackDoor-AQJとして検出されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のレジストリキー値が存在します。

・上記のファイルが存在します。

・ポート10168が開いています。

TOPへ戻る

感染方法

・W32/Lovgate@Mは、(独自のSMTPエンジンを持って)メールまたはネットワーク共有を経由して繁殖します。また、開いているすべての共有フォルダ/サブフォルダに自身のコピーを作成して繁殖し、受信トレイ内のメッセージに対して返信をします。

・実行すると、自身を以下のようなファイル名で%System%フォルダにコピーします。

・WinGate.exe
・rpcsrv.exe
・syshelp.exe
・winrpc.exe
・WinRpcsrv.exe

・バックドアコンポーネント(77,824 バイト)は、以下のファイルも同様に%System%ディレクトリに落とし込みます(様々なファイル名で、複数回)。

・1.dll
・reg.dll
・ily.dll
・task.dll

・(注意:%System% はウィンドウズシステムフォルダです。Windows 9x/MEではC:\Windows\System , Windows NT/2000ではC:\WINNT\System32、Windows XPではC:\Windows\System32)

・以下のレジストリキーがシステムスタートアップをフックするために追加されます。

・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"syshelp" = C:\WINDOWS\SYSTEM\syshelp.exe

・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"WinGate initialize" = C:\WINDOWS\SYSTEM\WinGate.exe -remoteshell

・また、バックドアコンポーネント用にシステムスタートアップフックが追加されます。

・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"Module Call initialize" = RUNDLL32.EXE reg.dll ondll_reg

・以下のレジストリキーがテキストファイルの実行をフックするために改変されます。

・HKEY_CLASSES_ROOT\txtfile\shell\open\command(Default) = "winrpc.exe %1"

・Windows NT/2000で実行された場合、ワームは'Window Remote Service'(WINRPCSRV.EXEというファイル名のワームのコピーを起動するように設定する) という表示名でサービスとして自身をインストールします。落とし込まれたバックドアコンポーネントのひとつ(TASK.DLL)は2つのサービスとして、以下の表示名でインストールされます。

・dll_reg
・Windows Management Extension

・また、ワームはWIN.INI を以下のような’Run’コマンドを追加することで改変します。

・[windows]
run=rpcsrv.exe

TOPへ戻る

駆除方法

・本ページ上部に記載されている検出エンジンとウイルス定義ファイルを使用いただければ、このウイルスを検出、駆除できます。

・このウイルスは、システムスタートアップをフックする為に、システムレジストリおよびINIファイルに改変を加えますが、これについても指定のエンジンと定義ファイルを使えば修復されます。しかし、4249と4250DATファイルはC:\WINDOWS\NOTEPAD.EXEのTXTFILE SHELL OPEN COMMANDをリセットする指示が含まれています。これはいくつかのシステムにおいては不正なパスになります。この点は、4251DATファイルで訂正されています。また、4.2.40エンジンと4250DATファイルはウイルス/バックドアに関連するレジストリキーの駆除を要求します。このレジストリースクリプト(FixLovgate.reg) はTXTFILE のキーの値を訂正し、サービスに関連するキーを除去し、ランキーも除去します。

・1.DLLファイルはLSASS.EXEプロセスに挿入されており、このことが1.DLLのファイル削除を妨げています。このファイルはBackDoor-AQJとして検出されますが、完全に駆除する為には再起動が必要となります。

・なお、スティンガーを使うと再起動する必要なしに、W32/Lovgate@MとBackDoor-AQJを完全に駆除することが出来ます。

・Windows ME/XP用の駆除ヒントはこちらをご覧ください。

TOPへ戻る