Worm-Backdoor.WNT/Lovgate.Y@MM

Alias:
W32.Lovgate.Y@mm (Symantec)

Descripción:
Gusano cuya propagación se realiza mediante el envío masivo de correo a las direcciones incluidas en las libretas de contacto de Windows y de Outlook, así como direcciones incluidas en otros ficheros.

También se puede difundir a través de unidades compartidas de red y de la aplicación de intercambio de fichero de KaZaA.

Posee además capacidades para actuar como puerta trasera permitiéndo el control remoto no autorizado del equipo infectado, así como el robo de información.

Puede detener la ejecución de varios procesos activos en el sistema, relativos a programas antivirus.

Detalles:
Cuando Worm.WNT/Lovgate.Y@MM es ejecutado, realiza las siguientes acciones:

1. Se copia a sí mismo como:
   • %Windir%\Systra.exe
   • %System%\iexplore.exe
   • %System%\RAVMOND.exe
   • %System%\WinHelp.exe
   • %System%\Kernel66.dll
   
   Notas:
   • %Windir% es variable. El troyano localiza el directorio de instalación de Windows (por defecto C:\Windows o C:\Winnt) y se replica en esa ubicación.
     
   • %System% es variable. El troyano localiza el directorio System y se replica en esa ubicación. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
   
   
2. Crea los siguientes ficheros:
   • %System%\ODBC16.dll
   • %System%\msjdbc11.dll
   • %System%\MSSIGN30.DLL
   
   Nota: Los tres ficheros son iguales. Son componentes que habilitan una 'puerta trasera' en el equipo infectado con un tamaño de 53760 bytes.
   
   
3. Realiza las siguientes modificaciones en el registro de Windows:
   
   Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade los valores indicados a la siguiente clave:

   Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   Valores: "Program in Windows"="%system%\iexplore.exe"
                 "Protected Storage"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"
                 "VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"
                 "WinHelp"="%system%\WinHelp.exe"
                 "Hardware Profile" = "%system%\hxdef.exe..."  
                 "Program in Windows"="%system%\IEXPLORE.exe"  
                 "Microsoft NetMeeting Associates, Inc." = "NetMeeting.exe"  
                 "Shell Extension" = "%system%\spollsv.exe"

   Para ejecutarse como un servicio al arrancar el equipo con Windows 95/98/Me, añade los valores indicados a la siguiente clave:

   Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
   Valores: "SystemTra"="%Windir%\SysTra.exe"
                 "COM++ System" = "svchost.exe..."

   Para ejecutarse automáticamente cada vez que sistemas Windows NT/2000/XP son reiniciados, añade el valor indicado a la siguiente clave:

   Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\
   Valor: "run"="RAVMOND.exe"

4. Con el mismo objetivo de ejecutarse automáticamente cada vez que el sistema sea reiniciado, añade la siguiente linea a la sección [Windows] del fichero Win.ini:

   run=ravmond.exe

5. Crea la red compartida "Media", mapeada en "%Windir%\Media.".
   Se copia a sí mismo en todos los directorios compartidos utilizando uno o más de los siguientes nombres:
   • Thank you.doc.exe
   • 3D Flash Animator.rar.bat
   • SWF Browser2.93.txt.exe
   • Download.exe
   • Panda Crack.zip.exe
   • WinRAR V3.2.0 Beta 2.exe
   • Swish2.00.pif
   • AAdobe Photoshop7.0 creak.pif
   • You_Life.JPG.pif
   • CloneCD crack.exe
   • WinZip v9.0 Beta Build 5480 crack.exe
   • Real-DRAW PRO v3.10.exe
   • Star Wars Downloader.exe
   • HyperSnap-DX v5.20.01.exe
   • Adobe Photoshop6.0.zip.exe
   • HyperSnap-DX v4.51.01.exe
   
   
6. Crea dos ficheros llamados AUTORUN.INF y COMMAND.EXE en el directorio raíz de todas las unidades, excepto en las de CD-ROM.
   
   
7. Crea un fichero llamado -nombre_del_fichero-.ext en el directorio raíz de todas las unidades, excepto en las unidades A o B.
   
   -nombre_del_fichero- es uno de los siguientes:
   • WORK
   • setup
   • Important
   • bak
   • letter
   • pass
   
   y ext toma alguno de los siguientes valores:
   • RAR
   • ZIP
   
   Este fichero .zip contiene una copia del gusano con el nombre -nombre_del_fichero2-.ext. -nombre_del_fichero2- es uno de los siguientes:
   • WORK
   • setup
   • Important
   • book
   • email
   • PassWord
   
   y ext toma alguno de los siguientes valores:
   • .exe
   • .com
   • .pif
   • .scr
   
   
8. Crea el servicio "Windows Management Protocol v.0 (experimental)", que esta mapeado a "Rundll32.exe msjdbc11.dll ondll_server".
   
   
9. Crea el servicio "_reg" mapeado a "Rundll32.exe msjdbc11.dll ondll_server".
   
   
10. Finaliza la ejecución de todos los procesos que contengan cualquiera de las siguientes cadenas de caracteres:
    • KV
    • KAV
    • Duba
    • NAV
    • kill
    • RavMon.exe
    • Rfw.exe
    • Gate
    • McAfee
    • Symantec
    • SkyNet
    • rising
    
    
11. Analiza todas las unidades. Si el tipo de la unidad es extraible, mapeada o tiene una letra de unidad mayor que la E, realiza las siguientes acciones con todas esas unidades encontradas:
    • Intenta renombrar la extensión de todos los ficheros ,exe a .zmx.
    • Activa los atributos 'Oculto' y 'de Sistema' de esos ficheros.
    • Se copia a sí mismo con el nombre original del fichero.
    
    
12. Inyecta un procedimiento de 'observación de procesos' como una tarea dentro de Explorer.exe oTaskmgr.exe.
    Esta tarea intentará lanzar %System32%\Iexplore.exe si detecta que el proceso del gusano se ha detenido.
    
    
13. Escucha a través del puerto 6000.
    El procedimiento de puerta trasera roba información del equipo infectado y la almacena en el fichero C:\Netlog.txt.
    A continuación, la información capturada se envía por correo electrónico al autor de la infección.
    
    
14. Busca la ubicación del directorio de intercambio de ficheros de KaZaA en el registro del sistema.
    Seguidamente crea una copia de sí mismo en ese directorio con alguno de los siguientes nombres (con extensión .bat, .exe, .pif, o .scr):
    • wrar320sc
    • REALONE
    • BlackIcePCPSetup_creak
    • Passware5.3
    • word_pass_creak
    • HEROSOFT
    • orcard_original_creak
    • rainbowcrack-1.1-win
    • W32Dasm
    • setup
    • -nombre_de_fichero_aleatorio
    
    
15. Busca en todos los equipos de la red local, e intenta acceder a ellos con perfil de Administrador, utilizando las siguientes contraseñas:
    • Guest
    • Administrator
    • zxcv
    • yxcv
    • xxx
    • win
    • test123
    • test
    • temp123
    • temp
    • sybase
    • super
    • sex
    • secret
    • pwd
    • pw123
    • Password
    • owner
    • oracle
    • mypc123
    • mypc
    • mypass123
    • mypass
    • love
    • login
    • Login
    • Internet
    • home
    • godblessyou
    • god
    • enable
    • database
    • computer
    • alpha
    • admin123
    • Admin
    • abcd
    • aaa
    • 88888888
    • 2600
    • 2003
    • 2002
    • 123asd
    • 123abc
    • 123456789
    • 1234567
    • 123123
    • 121212
    • 11111111
    • 110
    • 7
    • 0
    • 0
    • pass
    • 54321
    • 12345
    • password
    • passwd
    • server
    • sql
    • !@#$%^&*
    • !@#$%^&
    • !@#$%^
    • !@#$%
    • asdfgh
    • asdf
    • !@#$
    • 1234
    • 111
    • root
    • abc123
    • 12345678
    • abcdefg
    • abcdef
    • abc
    • 888888
    • 666666
    • 111111
    • admin
    • administrator
    • guest
    • 654321
    • 123456
    • 321
    • 123
    
    
16. Si Worm.WNT/Lovgate.Y@MM logra acceder a algún equipo remoto, intentará copiarse en él como \\-nombre_del_equipo_remoto-\admin$\system32\NetManager.exe, y ejecutar el fichero como el servicio "Windows Management NetWork Service Extensions", que está mapeado a "NetManager.exe -exe_start".
    
    
17. Recopila las direcciones electrónicas incluidas en los ficheros con extensiones .txt, .pl, .wab, .adb, .tbb, .dbx, .asp, .php, .sht y .htm ubicados en los siguientes directorios:
    • %Windir%\Local Settings
    • \Documents and Settings\-usuario_actual\local settings
    • Temporary Internet Files folder
    
    
18. Recopila las direcciones de correo electrónico de la libreta de contactos de Windows.
    
    
19. Utiliza su propio motor SMTP para enviarse a sí mismo a todas las direcciones de correo encontradas.
    
    El mensaje enviado tiene las siguientes características:
    Asunto: uno de los siguientes:
    • test
    • hi
    • hello
    • Mail Delivery System
    • Mail Transaction Failed
    • Server Report
    • Status
    • Error
    
    Cuerpo del mensaje: uno de los siguientes:
    • pass
    • Mail failed. For further assistance, please contact!
    • The message contains Unicode characters and has been sent as a binary attachment.
    • It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
    
    Fichero Anexo: uno de los siguientes:
    • document
    • readme
    • doc
    • text
    • file
    • data
    • test
    • message
    • body
    
    con alguna de las siguietnes extensiones:
    • .bat
    • .cmd
    • .exe
    • .pif
    • .scr
    
    
20. Responde a todos los mensajes que llegan a su buzón de entrada de varios clientes de correo, incluido Microsoft Outlook.
    
    Si el mensaje original es:

    Asunto: - asunto -
    De: - remitente -@- dominio.com-
    Cuerpo: - cuerpo original -,

    el gusano intentará enviar el siguiente mensaje:

    Asunto: Re: - asunto -
    Para: - remitente -@- dominio.com-
    Cuerpo:
    '- remitente -' wrote:
    ====
    > - cuerpo original -
    ====
    
    - dominio.com- account auto-reply:
    
     If you can keep your head when all about you
     Are losing theirs and blaming it on you;
     If you can trust yourself when all men doubt you,
     But make allowance for their doubting too;
     If you can wait and not be tired by waiting,
     Or, being lied about,don't deal in lies,
     Or, being hated, don't give way to hating,
     And yet don't look too good, nor talk too wise;
     ... ... more  look to the attachment. 
    
    
    > Get your FREE - dominio.com- account now! <
    
    Fichero Anexo: uno de los siguientes:
    

    • the hardcore game-.pif 
    • Sex in Office.rm.scr 
    • Deutsch BloodPatch!.exe 
    • s3msong.MP3.pif 
    • Me_nude.AVI.pif 
    • How to Crack all gamez.exe 
    • Macromedia Flash.scr 
    • SETUP.EXE 
    • Shakira.zip.exe 
    • dreamweaver MX (crack).exe 
    • StarWars2 - CloneAttack.rm.scr 
    • Industry Giant II.exe 
    • DSL Modem Uncapper.rar.exe 
    • joke.pif 
    • Britney spears nude.exe.txt.exe 
    • I am For u.doc.exe

Solución:

1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

   Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
   
   

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
    
   Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 
   
   Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
   
   
3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
   
   
4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

   Para evitar que el gusano se ejecute automáticamente cada vez que el sistema es reiniciado, elimine los valores indicados de la siguiente clave:

   Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   Valores: "Program in Windows"="%system%\iexplore.exe"
                 "Protected Storage"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"
                 "VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"
                 "WinHelp"="%system%\WinHelp.exe"
                 "Hardware Profile" = "%system%\hxdef.exe..."  
                 "Program in Windows"="%system%\IEXPLORE.exe"  
                 "Microsoft NetMeeting Associates, Inc." = "NetMeeting.exe"  
                 "Shell Extension" = "%system%\spollsv.exe" 

   Para evitar que se ejecute como un servicio al arrancar el equipo con Windows 95/98/Me, elimine los valores indicados de la siguiente clave:

   Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
   Valores: "SystemTra"="%Windir%\SysTra.exe"
            "COM++ System" = "svchost.exe..."

   Para evitar que se ejecute automáticamente cada vez que sistemas Windows NT/2000/XP son reiniciados, elimine el valor indicado a la siguiente clave:

   Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\
   Valor: "run"="RAVMOND.exe"
   
   

5. Restaure el estado del fichero Win.ini para evitar la ejecución del gusano cuando se reinicie el sistema.
   
   Eliminar el siguiente contenido añadido al contenido de este fichero:

   Dentro de la Sección:[windows]
   Eliminar la línea: run=ravmond.exe

   Se puede utilizar una copia de seguridad del fichero (en caso de disponer de una), o modificar el fichero directamente. (ver video 'Edición de Ficheros del Sistema' en la sección de Ayuda)
   
   
6. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

• Symantec

Fuente: red.es