|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
I-Worm.Lovegate.V
Alias: I-Worm.LovGate.w, W32.Lovgate.Gen@mm, WORM_LOVGATE.V, W32/Lovgate-V
W32/Lovegate.V legt sich als WinHelp.exe, iexplore.exe, kernel66.dll und ravmond.exe
in den Windows-Systemordner und als systra.exe in den Windows-Ordner an.
Außerdem werden die Dateien msjdbc11.dll, mssign30.dll und odbc16.dll angelegt, die
einen Remote-Zugriff auf den Computer über ein Netzwerk ermöglichen.
Lovegate.V legt Kopien von sich in Form von ZIP-Dateien auf Laufwerke ab.
Diese gepackten Dateien haben meistens eine RAR-Erweiterung und werden aus
folgender Liste ausgewählt:
WORK
setup
important
bak
letter
pass
Ungepackt heißen diese Dateien entweder PassWord, email oder book, mit der Endung
EXE, SCR, PIF oder COM.
Folgende Einträge werden in die Registry gestellt:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Hardware Profile = \hxdef.exe
Microsoft NetMeeting Associates, Inc. = NetMeeting.exe
Protected Storage = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
VFW Encoder/Decoder Settings = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
WinHelp = \WinHelp.exe
Program In Windows = \IEXPLORE.EXE
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\SystemTra =
\SysTra.EXE
HKU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run = RAVMOND.exe
Außerdem kopiert sich I-Worm.Lovegate.V in die Datei command.exe und fügt dort die Datei
autorun.inf hinzu, damit diese automatisch beim Systemstart ausgeführt wird.
Die E-Mail-Adressen sucht sich I-Worm.Lovegate.V in Dateien mit folgenden Endungen:
.WAB,.TXT,.HTM,.SHT,.PHP,.ASP,.DBX,.TBB,.ADB,.PL
Aussehen der E-Mails:
Betreff:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Inhalt:
It's the long-awaited film version of the Broadway hit. The message sent as a
binary attachment.
The message contains Unicode characters and has been sent as a binary
attachment.
Mail failed. For further assistance, please contact!
Folgende Attachment (Anhang):
document
readme
doc
text
file
data
test
message
body
mit Endung ZIP, EXE, PIF oder SCR.
I-Worm.Lovegate.V kopiert sich auch in den Windows-Media-Ordner.
Der Wurm antwortet auch auf E-Mails im Posteingang des Anwenders und verwendet für den
Anhang die folgenden Dateinamen:
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
I-Worm.Lovegate.V kopiert sich auf freigegebene Laufwerke unter folgenden Namen:
mmc.exe
xcopy.exe
winhlp32.exe
i386.exe
client.exe
findpass.exe
autoexec.bat
MSDN.ZIP.pif
Cain.pif
WindowsUpdate.pif
Support Tools.exe
Windows Media layer.zip.exe
Microsoft Office.exe
Documents and Settings.txt.exe
Internet Explorer.bat
WinRAR.exe
Lovegate.V verwendet ein Kennwort aus einer internen Liste und fügt sich als NetManager.exe
in den Systemordner admin$ hinzu.
Anschließend wird der Dienst "Windows Managment Network Service Extensions" auf dem remoten
Computer gestartet.
I-Worm.Lovegate.V startet einen Logging-Thread, der an Port 6000 wartet und trägt empfangene
Daten in der Datei C:\Netlog.txt ein.
Lovegate.V beendet Prozesse die folgende Zeichenfolgen enthalten:
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
Nav
Duba
KAV
KV
Außerdem werden EXE-Dateien zu Kopien des Wurmes, das Original als ZMX-Dateien umbenannt.
Entfernung:
Sperren Sie die System-Wiederherstellung (Windows Me/XP).
Aktualisieren Sie die Virusdefinitionen.
Löschen Sie den Wert, den die Endlosschleife der Registry hinzufügte.
|
|
Linktipps: Kleider
|
|
|
|
