Worm-Backdoor.W32/Lovgate.AD@MM
Alias:
W32.Lovgate.AD@mm (Symantec), W32/Lovgate.ah@MM (McAfee)
Descripción:
Gusano cuya propagación se realiza a través del envío masivo de
correos utilizando la vulnerabilidad DCOM RPC que afecta a equipos
Windows 2000/XP sin actualizar con el parche adecuado.
El 'Asunto' y el 'Anexo' del mensaje son variables, siendo la
extensión de este último .bat, .exe, .pif, o .scr.
También es capaz de propagarse mediante unidades compartidas de
red.
Infecta ficheros ejecutables, y puede actuar como puerta trasera,
permitiendo el acceso remoto no autorizado al equipo atacado.
Detalles:
Cuando Worm-Backdoor.W32/Lovgate.AD@MM es ejecutado, realiza
las siguientes acciones:
- Se copia a sí mismo como:
- %Windir%\SYSTRA.EXE
- %Windir%\suchost.exe
- %System%\hxdef.exe
- %System%\IEXPLORE.EXE
- %System%\RAVMOND.exe
- %System%\realsched.exe
- %System%\vptray.exe
- %System%\kernel66.dll (con
los atributos 'Sólo lectura', 'Oculto' y 'de Sistema')
- C:\COMMAND.EXE
- C:\AUTORUN.INF
- %System%\ODBC16.dll (componente
de la puerta trasera de 53,248 bytes)
- %System%\msjdbc11.dll (componente
de la puerta trasera de 53,248 bytes)
- %System%\MSSIGN30.DLL (componente
de la puerta trasera de 53,248 bytes)
- %System%\LMMIB20.DLL (componente
de la puerta trasera de 53,248 bytes)
Notas:
- %Windir% es variable. El
troyano localiza el directorio de instalación de Windows
(por defecto C:\Windows o C:\Winnt) y se
replica en esa ubicación.
- %System% es variable. El
troyano localiza el directorio System y se replica en
esa ubicación. Por defecto es C:\Windows\System (Windows
95/98/Me), C:\Winnt\System32 (Windows NT/2000), o
C:\Windows\System32 (Windows XP).
- Para ejecutarse automáticamente cada vez que el sistema es
reiniciado, añade los valores indicados a la siguiente clave
del registro de Windows:
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valores: "WinHelp"="%system%\realsched.exe"
"Hardware
Profile"="%system%\hxdef.exe"
"Program
In Windows"="%system%\IEXPLORE.EXE"
"Microsoft
NetMeeting Associates, Inc."="NetMeeting.exe"
"VFW
Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL
ondll_reg"
"Protected
Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell
Extension"="%system%\spollsv.exe"
- Para ejecutarse automáticamente en equipos con Windows
95/98/Me cada vez que el sistema es reiniciado, añade los
valores indicados a la siguiente clave del registro de Windows:
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Valores: "SystemTra"="%Windor%\SysTra.EXE"
"COM++
System"="suchost.exe"
- Para ejecutarse automáticamente en equipos con Windows
NT/200/XP cada vez que el sistema es reiniciado, añade el valor
indicado a la siguiente clave del registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows
Valor: "run"="RAVMOND.exe"
- Para ejecutarse automáticamente cada vez que un fichero .txt
sea abierto, añade el valor indicado, a las siguientes claves
del registro de Windows:
Claves: HKEY_CLASSES_ROOT\txtfile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
Valor: "(Default)"="vptray.exe
%1"
- Crea los siguientes servicios:
- Nombre de imagen: _reg
Ruta de imagen: Rundll32.exe
msjdbc11.dll ondll_server
Inicio: automático
- Nombre de imagen:
Windows Management Protocol v.0 (experimental)
Descripción: Windows
Advanced Server. Performs scheduled scans for LANguard.
Ruta de imagen: Rundll32.exe
msjdbc11.dll ondll_server
Inicio: automático
- Finaliza la ejecución de cualquier proceso que tenga alguna
de las siguientes cadenas de texto en su nombre:
- KV
- KAV
- Duba
- NAV
- kill
- RavMon.exe
- Rfw.exe
- Gate
- McAfee
- Symantec
- SkyNet
- rising
- Intenta propagarse a otros equipos utilizando la
vulnerabilidad Microsoft Windows DCOM RPC Interface Buffer
Overrun (descrita en el Boletín
de Seguridad de Microsoft MS03-026).
- Busca en todas las unidades del equipo infectado. Si las
unidades son extraibles, estan mapeadas, o tiene asociada una
letra mayor que la E, realiza las siguientes acciones:
- Intenta cambiar la extensión de
todos los ficheros .exe, por .zmx.
- Pone los atributos de estos ficheros
como 'Ocultos' y 'de Sistema'.
- Se copia a sí mismo con el nombre
original del fichero.
- Busca los equipos conectados a la misma red local que el
ordenador infectado, intentando autenticarse en la unidad admin$.
Utiliza para intentar conectarse, los usuarios:
- Guest
- Admin
- Administrator
y como contraseña, alguna de las siguientes:
- !@#$
- !@#$%
- !@#$%^
- !@#$%^&
- !@#$%^&*
- 0
- 0
- 7
- 110
- 111
- 111111
- 11111111
- 121212
- 123
- 123123
- 1234
- 12345
- 123456
- 1234567
- 12345678
- 123456789
- 123abc
- 123asd
- 2003
- 2004
- 2600
- 321
- 54321
- 654321
- 666666
- 888888
- 88888888
- aaa
- abc
- abc123
- abcd
- abcdef
- abcdefg
- Admin
- admin
- admin123
- Administrator
- administrator
- alpha
- asdf
- asdfgh
- computer
- database
- enable
- god
- godblessyou
- Guest
- guest
- home
- Internet
- login
- Login
- love
- mypass
- mypass123
- mypc
- mypc123
- oracle
- owner
- pass
- passwd
- Password
- password
- pw123
- pwd
- root
- secret
- server
- sex
- sql
- super
- sybase
- temp
- temp123
- test
- test123
- win
- xxx
- yxcv
- zxcv
- Si Worm-Backdoor.W32/Lovgate.AD@MM consigue
autenticarse en el sistema remoto, intentará crear una copia de
sí mismo con el nombre \\\admin$\system32\NetManager32.exe.
- Crea un servicio en el equipo remoto llamado "Windows
Management NetWork Service Extensions" y una
unidad compartida de nombre "Media".
- Podría copiarse a sí mismo en las unidades compartidas con
uno o más de los siguientes nombres:
- WinRAR.exe
- Internet Explorer.bat
- Documents and Settings.txt.exe
- Microsoft Office.exe
- Windows Media Player.zip.exe
- Support Tools.exe
- WindowsUpdate.pif
- Cain.pif
- MSDN.ZIP.pif
- autoexec.bat
- findpass.exe
- client.exe
- i386.exe
- winhlp32.exe
- xcopy.exe
- mmc.exe
- Abre una puerta trasera en un puerto aleatorio.
- Responde a los mensajes que se reciben en el buzón de entrada
de ciertos clientes de correo que utilizan MAPI (Interfaz de
programación de aplicaciones de mensajería), como Microsoft
Outlook.
Por ejemplo, si el mensaje recibido tiene las siguientes
propiedades:
Asunto: - asunto -
Cuerpo: -
cuerpo_del_mensaje -
la respuesta enviada tendrá el siguiente formato:
Asunto: Re: - asunto -
Cuerpo:
- cuerpo_del_mensaje -
- nombre_del_dominio auto-reply:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
> Get your FREE Mail now! <
Fichero Anexo: uno de los
siguientes:
- the hardcore game-.pif
- Sex in Office.rm.scr
- Deutsch BloodPatch!.exe
- s3msong.MP3.pif
- Me_nude.AVI.pif
- How to Crack all gamez.exe
- Macromedia Flash.scr
- SETUP.EXE
- Shakira.zip.exe
- dreamweaver MX (crack).exe
- StarWars2 - CloneAttack.rm.scr
- Industry Giant II.exe
- DSL Modem Uncapper.rar.exe
- joke.pif
- Britney spears
nude.exe.txt.exe
- I am For u.doc.exe
- Podría obtener direcciones electrónicas de los equipos
infectados y enviarles un mensaje cn el siguiente formato:
Asunto: uno de los
siguientes:
- test
- hi
- hello
- Mail Delivery System
- Mail Transaction Failed
- Server Report
- Status
- Error
Cuerpo del mensaje: uno de
los siguientes
- Mail failed. For further assistance,
please contact!
- The message contains Unicode
characters and has been sent as a binary attachment.
- It's the long-awaited film version
of the Broadway hit. The message sent as a binary
attachment.
Fichero Anexo: de nombre
aleatorio, y con alguna de las siguientes extensiones:
- Infecta ficheros de extensión .exe haciendo lo
siguiente en el fichero original:
- Le añade al principio una copia del
fichero suchost.exe.
- Le añade una copia del fichero
original del gusano.
Solución:
- Si utiliza Windows Me o XP, y sabe cuándo se produjo la
infección, puede usar la característica de Restauración
del Sistema para eliminar el virus volviendo a un punto de
restauración anterior a la infección. (Tenga en cuenta que se
desharán los cambios de configuración de Windows y se eliminarán
todos los archivos ejecutables que haya creado o descargado
desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable
desactivar temporalmente la Restauración del Sistema antes de
eliminar el virus por otros medios, ya que podría haberse
creado una copia de seguridad del virus. Si necesita ayuda vea desactivar
la Restauración del Sistema en Windows Me y desactivar
la Restauración del Sistema en Windows XP.
- Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de
Antivirus Gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
- En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
- A continuación hay que editar el registro para deshacer los
cambios realizados por el virus. Si necesita información sobre
cómo editar el registro puede ver esta guía
de edición del registro o este vídeo
de ayuda que ilustra el proceso. Sea
extremadamente cuidadoso al manipular el registro. Si modifica
ciertas claves de manera incorrecta puede dejar el sistema
inutilizable.
Para evitar que se ejecute automáticamente cada vez que el
sistema es reinciado, elimine los valores indicados de la
siguiente clave del registro de Windows:
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valores:
"WinHelp"="%system%\realsched.exe"
"Hardware
Profile"="%system%\hxdef.exe"
"Program
In Windows"="%system%\IEXPLORE.EXE"
"Microsoft
NetMeeting Associates, Inc."="NetMeeting.exe"
"VFW
Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL
ondll_reg"
"Protected
Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell
Extension"="%system%\spollsv.exe"
Con el mismo propósito, en Windows 95/98/Me elimine
los valores indicados de la siguiente clave del registro de
Windows:
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Valores:
"SystemTra"="%Windor%\SysTra.EXE"
"COM++
System"="suchost.exe"
Con el mismo propósito, en Windows NT/200/XP elimine
el valor indicado de la siguiente clave del registro de Windows:
Clave:
HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows
Valor: "run"="RAVMOND.exe"
- Para evitar que se ejecute automáticamente cada vez que un fichero .txt sea abierto, elimine el valor indicado, de las siguientes claves del registro de Windows:
Claves: HKEY_CLASSES_ROOT\txtfile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
Valor: "(Default)"="vptray.exe %1"
- Actualice su sistema instalando el parche que corrige la
vulnerabilidad Microsoft Windows DCOM RPC Interface Buffer
Overrun (descrita en el Boletín
de Seguridad de Microsoft MS03-026).
- Vuelva a poner la extensión .exe a aquellos ficheros que les fue modificada por acción del gusano.
Los ficheros alterados se encuentran en unidades extraibles, mapeadas en red, o con una letra mayor que la E:.
- Reincie su ordenador y explore todo el disco duro con un
antivirus para asegurarse de la eliminación del virus. Si
desactivó la restauración del sistema, recuerde volver a
activarla.
Más Información sobre este virus en:
Fuente: red.es |
