Worm-Backdoor.W32/Lovgate.AC@MM
Alias:
W32.Lovgate.AC@mm (Symantec), W32/Lovgate.ai@MM (Kaspersky
(viruslist.com)), W32/Lovgate.aj@MM (McAfee)
Descripción:
Gusano que se difunde enviando correo masivamente, mediante la
vulnerabilidad RPC DCOM que afecta a sistemas Windows 2000/XP sin el
parche adecuado, y mediante carpetas compartidas de red de Microsoft
y del programa de intercambio de ficheros Kazaa. El adjunto de los
mensajes de correo tiene una extensión .bat, .exe, .pif o .scr.
Infecta ficheros ejecutables y permite acceso remoto no autorizado
al PC infectado.
Detalles:
Cuando Lovgate.AC es ejecutado, realiza las siguientes acciones:
- Crea los siguientes ficheros:
- %Windir%\CDPlay.exe
- %System%\iexplore.exe
- %System%\RAVMOND.exe
- %System%\WinHelp.exe
- %System%\Update_OB.exe
- %System%\TkBellExe.exe
- %System%\hxdef.exe
- %System%\Kernel66.dll, which is a
hidden file.
Donde %Windir% es una varible que representa la carpeta de
instalación de Windows. Por defecto, esta es C:\WINDOWS o
C:\WINNT. %System% es una varible que representa la carpeta de
sistema de Windows. Por defecto es C:\Windows\System (Windows
95/98/Me), C:\Winnt\System32 (Windows NT/2000), o
C:\Windows\System32 (Windows XP).
- Crea un archivo llamado CDROM.COM en el directorio raíz
de todas las unidades de disco, con atributos de systema, oculto
y sólo lectura.
- Crea un fichero llamado autorun.inf en cada unidad con
el siguiente contenido:
[Autorun]
open="C:\cdrom.com" /StartExplorer
- Crea un archivo con una copia del gusano en la carpeta raíz
de cada unidad, excepto si la letra es A o B. El nombre del
archivo tiene el formato [nombre_fichero].[ext], donde
[nombre_fichero] es uno de los siguientes:
y [ext] es uno de los siguientes:
- Añade los valores:
Winhelp =
"%system%\TkBellExe.exe..."
Hardware Profile = "%system%\hxdef.exe..."
Program in Windows="%system%\IEXPLORE.exe"
a la clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Añade los valores:
COM++ System =
"exploier.exe..."
SystemTra = "%windows%\CDPlay.exe"
a la clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
- Añade el valor
"run"="RAVMOND.exe"
a la clave del registro
HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows
- Modifica el valor:
(Predeterminado) = "Update_OB.exe
%1..."
en la clave del registro:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
para que el gusano sea ejecutado cuando se abre un fichero de
texto.
- Detiene los siguientes servicios:
- Rising Realtime Monitor Service
- Symantec AntiVirus Server
- Symantec AntiVirus Client
- Termina procesos que contengan las siguientes cadenas en sus
nombres:
- rising
- SkyNet
- Symantec
- McAfee
- Gate
- Rfw.exe
- RavMon.exe
- kill
- NAV
- Duba
- KAV
- Escanea todas las unidades de disco del ordenador infectado.
Si la unidad es extraible, mapeada (de red) o fijo con una letra
posterior a E, hace lo siguiente:
- Intenta renombrar todos los ficheros
con extensión .exe a .zmx
- Establece los atributos de oculto y
de sistema para estos ficheros
- Se copia con el nombre de fichero
original.
- Inyecta un procedimiento de observación de procesos, como un
hilo, en Explorer.exe o Taskmgr.exe. Si este hilo detecta que el
proceso del gusano se ha parado, intenta lanzar
%System%\Iexplore.exe.
- Escucha conexiones en el puerto TCP 6000
- Roba información del sistema infectado y la almacena en el
fichero C:\Netlog.txt. A continuación envía esta dirección a
una cuenta de correo electrónico.
- Busca en el registro la situación de la carpeta compartida de
Kazaa, y si la encuentra se copia con alguno de los siguientes
nombres:
- wrar320sc
- REALONE
- BlackIcePCPSetup_creak
- Passware5.3
- word_pass_creak
- HEROSOFT
- orcard_original_creak
- rainbowcrack-1.1-win
- W32Dasm
- setup
- [random file name]
a los que añade una extensión .bat, .exe, .pif, o .scr.
- Busca ordenadores conectados a la misma red local que el PC
infectado e intenta autenticarse y conectarse a las carpetas de
adminstración. Prueba el nombre de usuario
"Administrator" y las siguientes contraseñas:
- !@#$
- !@#$%
- !@#$%^
- !@#$%^&
- !@#$%^&*
- 000000
- 00000000
- 007
- 110
- 111
- 111111
- 11111111
- 121212
- 123
- 123123
- 1234
- 12345
- 123456
- 1234567
- 12345678
- 123456789
- 123abc
- 123asd
- 2003
- 2004
- 2600
- 321
- 54321
- 654321
- 666666
- 888888
- 88888888
- aaa
- abc
- abc123
- abcd
- abcdef
- abcdefg
- Admin
- admin
- admin123
- Administrator
- administrator
- alpha
- asdf
- asdfgh
- computer
- database
- enable
- god
- godblessyou
- Guest
- guest
- home
- Internet
- login
- Login
- love
- mypass
- mypass123
- mypc
- mypc123
- oracle
- owner
- pass
- passwd
- Password
- password
- pw123
- pwd
- root
- secret
- server
- sex
- sql
- super
- sybase
- temp
- temp123
- test
- test123
- win
- xxx
- yxcv
- zxcv
Si tiene éxito se intenta copiar en
\\[pc_remoto]\admin$\system32\NetManager.exe. e intenta
ejecutarlo como un servicio con nombre "Windows Management
NetWork Service Extensions".
- Crea una carpeta de red compartida con el nombre
"Media", que está mapeada a %Windir%\Media.
- Se copia en todas las carpetas de recursos compartidos de red
usando uno o más de los siguientes nombres:
- WinRAR.exe
- Internet Explorer.bat
- Documents and Settings.txt.exe
- Microsoft Office.exe
- Windows Media Player.zip.exe
- Support Tools.exe
- WindowsUpdate.pif
- Cain.pif
- MSDN.ZIP.pif
- autoexec.bat
- findpass.exe
- client.exe
- i386.exe
- winhlp32.exe
- xcopy.exe
- mmc.exe
- Responde a cualquier mensaje de correo electrónico que llegue
a la bandeja de entrada de ciertos clientes de correo
compatibles con MAPI, con correos como el siguiente:
- Asunto:
Re: [asunto del mensaje original]
- Mensaje:
'[remitente original]' wrote:
====
[cuerpo del mensaje original]
====
[dominio del remitente] account auto-reply:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
Get your FREE [dominio del remitente] account now!
- Attachment:
(Uno de los siguientes)
- the hardcore game-.pif
- Sex in Office.rm.scr
- Deutsch BloodPatch!.exe
- s3msong.MP3.pif
- Me_nude.AVI.pif
- How to Crack all gamez.exe
- Macromedia Flash.scr
- SETUP.EXE
- Shakira.zip.exe
- dreamweaver MX (crack).exe
- StarWars2 - CloneAttack.rm.scr
- Industry Giant II.exe
- DSL Modem Uncapper.rar.exe
- joke.pif
- Britney spears nude.exe.txt.exe
- I am For u.doc.exe
- Obtiene direcciones de correo electrónico de la libreta de
direcciones de Windows y de ficheros con las siguientes
extensiones:
- .txt
- .pl
- .wab
- .adb
- .tbb
- .dbx
- .asp
- .php
- .sht
- .htm
- Utiliza comandos SMTP para enviarse a las direcciones de
correo electrónico encontradas
- Se adjunta a ficheros con extensión.exe.
Solución:
- Si utiliza Windows Me o XP, y sabe cuándo se produjo la
infección, puede usar la característica de Restauración
del Sistema para eliminar el virus volviendo a un punto de
restauración anterior a la infección. (Tenga en cuenta que se
desharán los cambios de configuración de Windows y se eliminarán
todos los archivos ejecutables que haya creado o descargado
desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable
desactivar temporalmente la Restauración del Sistema antes de
eliminar el virus por otros medios, ya que podría haberse
creado una copia de seguridad del virus. Si necesita ayuda vea desactivar
la Restauración del Sistema en Windows Me y desactivar
la Restauración del Sistema en Windows XP.
- Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de
Antivirus Gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
- En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
- A continuación hay que editar el registro para deshacer los
cambios realizados por el virus. Si necesita información sobre
cómo editar el registro puede ver esta guía
de edición del registro o este vídeo
de ayuda que ilustra el proceso. Sea
extremadamente cuidadoso al manipular el registro. Si modifica
ciertas claves de manera incorrecta puede dejar el sistema
inutilizable.
Elimine los valores:
Winhelp =
"%system%\TkBellExe.exe..."
Hardware Profile = "%system%\hxdef.exe..."
Program in Windows="%system%\IEXPLORE.exe"
de la clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Elmine los valores:
COM++ System =
"exploier.exe..."
SystemTra = "%windows%\CDPlay.exe"
de la clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
Elimine el valro
"run"="RAVMOND.exe"
de la clave del registro
HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows
- Reincie su ordenador y explore todo el disco duro con un
antivirus para asegurarse de la eliminación del virus. Si
desactivó la restauración del sistema, recuerde volver a
activarla.
Más Información sobre este virus en:
Fuente: red.es |
