W32/Lovgate.AO@mm
Troj/Lovgate.AO

Lovgate.AO es un destructivo gusano/troyano/backdoor reportado el 27 de Agosto del 2004, variante del Lovgate, que se propaga en mensajes de correo con Asuntos y archivos Anexados de nombres aleatorios con extensiones variables bat, cmd, com, exe, pif, scr o zip, ingresando además a servidores remotos configurados con contraseñas débiles. 

Infecta archivos en unidades de red con recursos compartidos, tomando el control de los sistemas y se propaga a través de la red Peer to Peer KaZaa. 

Roba información del sistema y contraseñas de un servicio de mensajería instantánea chino y la envía a través del puerto TCP 6060 por medio de un mensaje de correo a una dirección cifrada del autor del virus. 

Sobre escribe las cabeceras de los archivos .EXE de todas las unidades de disco dejándolos inoperativos. 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, desarrollado en Visual C++ con una extensión variable y comprimido con el utilitario ASPack:

http://www.aspack.com

Al ejecutar el archivo infectado, el gusano se copia a la carpeta %Windir% creando una carpeta con recursos compartidos de nombre Java y como unidades de disco de la F:\ a la Z:\ las que también configura con recursos compartidos.

Se copia a sí mismo a todas las unidades y carpetas creadas, con uno de los siguientes nombres:

• Daemon Tools v3.41.exe
• EnterNet 500 V1.5 RC1.exe
• Flash2X Flash Hunter v1.1.2.pif
• FoxMail V5.0.500.0.exe
• Microsoft Office.exe
• Minilyrics_Std_2.7.233.pif
• Serv-U FTP Server 4.1.exe
• Support Tools.exe
• WINISO 5.3.exe
• WinGate V5.0.10 Build.exe
• Winamp skin_FinalFantasy.exe
• Windows 2000 sp4.ZIP.exe
• Windows Media Player.zip.exe
• autoexec.bat
• eMule-0.42e-VeryCD0407Install.exe
• i386.exe

Luego copia los siguientes archivos al directorio %Windir% y a la carpeta %System% y los ejecuta:

• %Windir%\Office.exe
• %Windir%\Video.exe
• %System%\IEXPLORE.EXE
• %System%\Kernel66.dll (con atributo "oculto")
• %System%\TkBellExe.exe
• %System%\Update_OB.exe
• %System%\hxdef.exe
• %System%\iexplorer.exe
• %System%\real.exe

Libera los siguientes archivos en la carpeta %System%: 

• Lmmib20.dll
• MSSIGN30.DLL
• ODBC16.dll
• msjdbc11.dll 

Estos archivos son los componentes del Backdoor. Luego genera el archivo update.exe en los directorios raíz de todas las unidades de disco del sistema infectado, excepto en la asignada al CD-ROM, configurado su atributos a "solo-lectura", "oculto" y "sistema". 

Libera también en esa carpeta el archivo Winpatch.dll, el cual ejecuta la rutina de extracción de contraseñas del servicio Chino de mensajería instantánea y comunidad web "OICQ".

Crea y ejecuta los siguientes servicios:

• _reg
• Windows Management Protocol v.0

Sobre-escribe el archivo autorun.inf file en cada una de las unidades de disco con los parámetros:

[AUTORUN]
Open="C:\upDate.exe" /StartExplorer

Crea una copia de si mismo con uno de los siguientes nombres y la extensión .RAR en todos los directorios raíz de la unidades de disco, excepto A:\, B:\, C:\ o D:\

• Bakeup
• ghost
• email r

y para activarse la próxima vez que se inicie el sistema agrega las siguientes claves:

• "Microsoft Inc." = "iexplorer.exe..."
• "Program In Windows" = "%System%\IEXPLORE.EXE"
• "Protected Storage" = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg..."
• "VFW Encoder/Decoder Settings" = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg..."
• "WinHelp" = "%System%\TkBellExe.exe..."

a la llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

Para activarse cada vez que se ejecute Windows 95/98 agrega los siguientes valores:

• "Installed shell32.dll" = "Office.exe..."
• "SystemTra" = "C:\Windows\Video.exe"
• "Soft Profile Inc" = "%System%\hxdef.exe..."

a la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices]

Para garantizar su ejecución en sistemas operativos basados en la tecnología NT crea la siguiente llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run" = "real.exe"

Igualmente modificará la siguiente llave, con el propósito de activarse cada vez que se ejecute cualquier archivo con extensión .TXT:

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
"default" = "Update_OB.exe %1..."

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente re-inicio el gusano deteiene los siguientes servicios, si estuviesen activados:

• Rising Realtime Monitor Service
• Symantec AntiVirus Client
• Symantec AntiVirus Server

termina los procesos en ejecución que tengan las cadenas:

• Duba
• Gate
• KAV
• KV
• McAfee
• NAV
• RavMon.exe
• Rfw.exe
• SkyNet
• Symantec
• kill
• rising

Activa un proceso de monitoreo como hilo dentro de Explorer.exe o Taskmgr.exe para ejecutar %System%\Iexplore.exe, en caso de detectar que los procesos del gusano hayan sido detenido.

El gusano almacena la información extraía en el archivo C:\Netlog.txt y se conecta al puerto TCP 6060 para  enviarla a través de un mensaje de correo a una dirección cifrada del autor del virus. 

Luego se copia a su carpeta de descarga con los siguientes nombres:

• BlackIcePCPSetup_creak
• HEROSOFT
• Passware5.3
• REALONE
• W32Dasm
• orcard_original_creak
• rainbowcrack-1.1-win
• setup
• word_pass_creak
• wrar320sc
• [archivo_de_nombre_aleatorio]

y cualquiera de las extensiones .bat, .exe, .pif, o .scr.

Para infectar los sistemas conectados a las redes inter-conectadas, el gusano intenta validarse con todos los privilegios y para lo cual usa el nombre "Administrator" con una de las siguientes contraseñas:

• !@#$
• !@#$%
• !@#$%^
• !@#$%^&
• !@#$%^&*
• 000000
• 00000000
• 007
• 110
• 111
• 111111
• 11111111
• 121212
• 123
• 123123
• 1234
• 12345
• 123456
• 1234567
• 12345678
• 123456789
• 123abc
• 123asd
• 2003
• 2004
• 2600
• 321
• 54321
• 654321
• 666666
• 888888
• 88888888
• Admin
• Administrator
• Guest
• Internet
• Login
• Password
• aaa
• abc
• abc123
• abcd
• abcdef
• abcdefg
• admin
• admin123
• administrator
• alpha
• asdf
• asdfgh
• computer
• database
• enable
• god
• godblessyou
• guest
• home
• login
• love
• mypass
• mypass123
• mypc
• mypc123
• oracle
• owner
• pass
• passwd
• password
• pw123
• pwd
• root
• secret
• server
• sex
• sql
• super
• sybase
• temp
• temp123
• test
• test123
• win
• yxcv
• zxcv
• zzz

Si logra ingresar satisfactoriamente a cualquier sistema remoto, el gusano se copia a sí mismo en la siguiente ruta y con el nombre de archivo:

\\<remote computer name>\admin$\system32\TelePhone.exe

Y activa este archivo como el servicio "NetWork Associates Inc."

El gusano responde a todos los mensajes recepcionadas en la bandeja de entrada de los software controlados por las librerías MAPI, tales como Microsoft Outlook, de la siguiente forma: 

Si el mensje entrante tiene estas caraceterísticas:

Remitente: [nombre_de_remitente@[dominio].com
Asunto: [asunto]
Contenido: [contenido_original_del_mensaje]

El gusano responderá de la siguiente forma:

Remitente: [nombre_de_remitente]@dominio.com
Asunto: [asunto]
Contenido: 

[nombre_de_remitente] wrote:

[contenido_original_del_mensaje]

[nombre_de_dominio.com] account auto-reply:

... ... more details,look to the attachment.

> Get your FREE [nombre_de_dominio.com] account now! <

Anexado: uno de los siguientes archivos:

• Butterfly Garden.scr
• FlashFXP.exe
• HyperSnap-DX v5.rar.exe
• Industry Giant II.exe
• MSN Messenger.exe
• MacroMedia.pif
• Macromedia Flash.scr
• Matrix Reloaded 3D.exe
• MyIE.AVI.pif
• Photoshop.EXE
• Shakira.zip.exe
• StarWars2 - CloneAttack.rm.scr
• WindowsXP Creak.exe
• dreamweaver MX (crack).exe
• joke.exe
• s3msong.MP3.pif

El gusano captura todas las direcciones de correo contenidas en los sistemas infectados y envía un mensaje con las siguientes características:

Remitente: usa la técnica Spoofing que disfraza la identidad de los verdaderos remitentes.
Asunto, uno de los siguientes:

• Delivery Status Notification (Delay)
• Error
• Hi
• Mail Transaction Failed
• Test
• [en_blanco]

Contenido, uno de los siguientes:

• Delivery to the following recipient has failed:
• It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
• Mail failed. For further assistance, Please contact!
• THIS IS A WARNING MESSAGE ONLY.
• The message contains Uniocode characters and has been sent as a binary attachment.
• This is an automatically generated Delivery Status Notification
• YOU DO NOT NEED TO RESEND YOUR MESSAGE.
• [en_blanco]

Anexado, uno de los siguientes:

• Body
• Doc
• Document
• File
• Message
• Readme
• Test
• Text
• data
• [nombre_aleatorio]

con algunas de las siguientes extensiones:

• bat
• cmd
• com
• exe
• pif
• scr
• zip

Finalmente revisa todas las unidades de disco que contengan archivos con extensión .EXE y sobre-escribe sus cabeceras con un archivo previamente creado en %System%\temp.uuu, dejándolos inoperativos.

Los payloads de este gusano/troyano/backdoor son los siguientes:

• Se auto-envía masivamente a través de mensajes de correo con Asuntos y archivos Anexados de nombres aleatorios con extensiones variables.
• Captura las direcciones contenidas en el disco y responde a todos los mensajes que ingresan a la carpeta de the Microsoft Outlook.
• Se propaga e infecta archivos de unidades de disco de redes con recursos compartidos.
• Intenta ingresar como "Administrador" con passwords pre-definidos.
• Se difunde además vía la red P2P KaZaa.
• Roba contraseñas del servicio Chino de mensajería instantánea y comunidad web "OICQ". 
• Como Backdoor envía a través del puerto 6060 la información extraída al autor del virus en un mensaje de correo con dirección cifrada.
• Obtiene el control de Acceso Remoto de los sistemas infectados.
• Sobre-escribe archivos con extensión .EXE dejándolos inoperativos.

Fuente: Per Antivirus