NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior


Nuevo Virus W32/LOVGATE@M tipo gusano, con caballo de Troya que abre puerta trasera (backdoor) y envía un mail a una dirección de correo informando sobre datos del ordenador infectado, permitiendo su acceso remoto.

PAYLOADS: Se propaga por recursos compartidos, por e-mail y abre puerta trasera

Nombre de virus: W32/LOVGATE@M (variantes A y B=comprimida)
Alias conocidos: W32/Lovgate.A/.B/.C , Worm_LovGate, Worm_Subnot
Riesgo Infección: Alto (Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución automática del fichero RPCSRV.EXE desde el WIN.INI o por ejecución manual del fichero EXE infectado anexado al mail
Propagación: Por envío a través de recursos compartidos y por correo electrónico.
Detección:desde DAT 4248 versión A, versión B y C con DAT 4249
Motor necesario: desde 4.1.60

Infección actual: Media (Inicial, Media, Elevada)

Un nuevo virus cuya versión original ya está controlada con DATS 4248, se está propagando alarmantemente (ya lo tenemos en España) a través de la variante B, que es igual que la A pero de 6 kB menos al estar comprimida

 

Variante A: Gusano con ficheros EXE de tamaño 84.992 BYTES
Variante B: Gusano con ficheros EXE de tamaño 78.848 BYTES
Variante C: Variante que se propaga por e-mail autoenviándose como respuesta a los mails existentes en la bandeja de entrada del Outlook y a las direcciones existentes en los ficheros *.HT* de la carpeta %Personal%

El comportamiento es el mismo para las dos variantes, propagándose a través de recursos compartidos y creando además muchas copias del gusano, en la carpeta de sistema de Windows, con los siguientes nombres:

WinRpcsrv.e
syshelp.exe
Winrpc.exe
WinGate.exe
rpcsrv.exe

Para la tercera variante, el sistema de propagación es inicialmente el de mail de respuesta a uno enviado, anexando fichero EXE infectado, cuya ejecución inicia el mismo proceso anterior. También, bajo ciertas condiciones, el gusano puede enviar mails a las direcciones existentes en los ficheros *.HT* de la carpeta %Personal%. De todas formas, los e-mails infectados vienen en inglés, por lo que lo mas normal es que el usuario español recele a su recepción y ya no ejecute el fichero anexado. Los mails entrantes con el virus pueden ser:

Subject: Cracks!
Body: Check our list and mail your requests!
Attachment: CrkList.exe
o
Subject: The patch
Body: I think all will work fine.
Attachment: Patch.exe
o
Subject: Last Update
Body: This is the last cumulative update.
Attachment: LUPdate.exe
o
Subject: Do not release
Body: This is the pack ;)
Attachment: Pack.exe
o
Subject: Beta
Body: Send reply if you want to be official beta tester.
Attachment: _SetupB.exe
o
Subject: Help
Body: I'm going crazy... please try to find the bug!
Attachment: Source.exe
o
Subject: Evaluation copy
Body: Test it 30 days for free.
Attachment: Setup.exe
o
Subject: Pr0n!
Body: Adult content!!! Use with parental advisory.
Attachment: Sex.exe
o
Subject: Roms
Body: Test this ROM! IT ROCKS!
Attachment: Roms.exe
o
Subject: Documents
Body: Send me your comments...
Attachment: Docs.exe

Cuando entra, modifica la línea Run = del Win.ini, y añade la carga del rpcsvr.exe:

[Windows]
Run = rpcsvr.exe

De esta forma se cargará en el siguiente reinicio de Windows, e iniciará su tarea modificando una clave del registro de sistema para cargarse en cada reinicio

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
syshelp = C:\%Winsys%\syshelp.exe
WinGate initialize = C:\%Winsys%\WinGate.exe -remoteshell
Module Call initialize = RUNDLL32.EXE reg.dll ondll_reg

 

también modifica otras dos para cargarse cada vez que se abre un fichero TXT:

HKLM\Software\Classes\txtfile\shell\open\command
(Predeterminado) = winrpc.exe %1

HKEY_CLASSES_ROOT\txtfile\shell\open\command (Predeterminado) = winrpc.exe %1

Además crea una copia de si mismo en todas las carpetas compartidas, con los siguientes nombres:

billgt.exe
card.exe
crklist.exe
docs.exe
docs.exe
fun.exe
hamster.exe
humor.exe
images.exe
joke.exe
LUPdate.exe
midsong.exe
news_doc.exe
pack.exe
patch.exe
pics.exe
PsPgame.exe
roms.exe
s3msong.exe
searchURL.exe
setup.exe
sex.exe
source.exe
ssrv.exe
stg.exe
syshelp.exe
tamagotxi.exe
wingate.exe
winrpc.exe

 

Al activarse el troyano, se abre el port de comunicaciones 10168 y envía e-mails a las siguientes direcciones de correo:

54love@fescomail.net

hacker117@163.com

De esta forma se entera el creador del virus de que una nueva víctima está on-line y puede ser remotamente controlada.

 

PARA ELIMINAR EL VIRUS

La versión A se controla desde DATS 4248 y engine 4.1.60, y las nuevas versiones B y C desde los DATS 4249, (ya existentes en nuestra web www.satinfo.es)

Para su eliminación debe ejecutarse el ELILOVGA.EXE y luego el LIMPIA.EXE para Windows 9x/Me, (o LIMPIANT.BAT para equipos basados en tecnología NT (NT, 2000, XP)

 

Para Descargar la utilidad ELILOVGA.EXE, pulsar AQUI

Para Descargar la utilidad LIMPIA.EXE, pulsar AQUI

Para Descargar la utilidad LIMPIANT.BAT, pulsar AQUI

 

 

SATINFO, VIRUSCAN SPAIN SERVICE Barcelona, 25 Febrero 2003

 

Anterior