Lovgate.L

LOVGATE.L, destructivo gusano/troyano/backdoor infecta vía Correo y puertos TCP controlando los sistemas.

W32/Lovgate.L@mm, Troj/Lovgate.L

Lovgate.L es un gusano/troyano/backdoor reportado el 31 de Mayo del 2003, variante del Lovgate, que se propaga a través de mensajes de correo, deshabilita antivirus, se conecta a servidores remotos e infecta archivos en unidades de red con recursos compartidos, tomando el control de los sistemas por medio de backdoors.

Infecta Windows NT/2000/XP, incluyendo los servidores NT/2000, está desarrollado en Visual C++ con una extensión de 129 KB y comprimido con el utilitario ASPack:

http://www.aspack.com

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a los buzones de correo de la Libreta de Direcciones de MS Outlook. Emplea su propio SMTP (Simple Mail Transfer Protocol) y también se auto-envía a las direcciones de correo extraídos de los archivos HTML.

Responde a todos los mensajes almacenados en la bandeja de entrada de MS Outlook y Outlook Express, con las siguientes características:

De: [usuario_infectado]
Para : [remitente_ original]
Asunto: RE: [asunto_ original]
Contenido:
[usuario infectado] wrote:
====
[Contenido original]
====

[remitente_original] account auto-reply:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
[Get your FREE <remitente_original SMTP account> account now!]

Anexado: cualquiera de los siguientes:

I am For u.doc.exe
Britney spears nude.exe.txt.exe
joke.pif
DSL Modem Uncapper.rar.exe
Industry Giant II.exe
StarWars2 - CloneAttack.rm.scr
dreamweaver MX (crack).exe
Shakira.zip.exe
SETUP.EXE
Macromedia Flash.scr
How to Crack all gamez.exe
Me_nude.AVI.pif
s3msong.MP3.pif
Deutsch BloodPatch!.exe
Sex in Office.rm.scr
the hardcore game-.pif

El gusano captura las direcciones de correo contenidas en los archivos con extensión .HTML ubicadas en las carpetas de Windows y Mis Documentos, y se auto-envía a las mismas con el archivo infectado anexado al mensaje de correo, haciendo uso de su propio SMTP, además de emplear el servidor smtp.163.com.

El mensaje es generado aleatoriamente con los siguientes Asuntos, Contenidos y Anexados:

Asunto, uno de los siguientes:

Reply to this!
Let's Laugh
Last Update
for you
Great
Help
Attached one Gift for u..
Hi
Hi Dear
See the attachement

Contenido, uno de los siguientes:

For further assistance, please contact!
Copy of your message, including all the headers is attached.
This is the last cumulative update.
Tiger Woods had two eagles Friday during his victory over
Stephen Leaney. (AP Photo/Denis Poroy)
Send reply if you want to be official beta tester.
This message was created automatically by mail delivery
software (Exim).
It's the long-awaited film version of the Broadway hit.
Set in the roaring 20's, this is the story of Chicago
chorus girl Roxie Hart(Zellweger), who shoots her unfaithful
lover (West).
Adult content!!! Use with parental advisory.
Patrick Ewing will give Knick fans something to cheer
about Friday night.
Send me your comments...

Anexado, uno de los siguientes:

About_Me.txt.pif
driver.exe
Doom3 Preview!!!.exe
enjoy.exe
YOU_are_FAT!.TXT.pif
Source.exe
Interesting.exe
README.TXT.pif
images.pif
Pics.ZIP.scr

Al ejecutar el archivo infectado, el gusano se autocopia a la carpeta %System% con los siguientes nombres:

RAVMOND.EXE
WinDriver.EXE
WinGate.EXE
WinHelp.EXE
WinRPC.EXE
WinEXE.EXE
IEXPLORE.EXE
REG678.DLL
Task688.DLL
ILY668.DLL
Kernel66.DLL
WIN32VXD.DLL

Los archivos con extensión .EXE son copias del gusano, mientras que los de extensión .DLL son sus componentes Backdoor.

Asimismo, el gusano libera una copia de sí mismo con el nombre DRWTSN16.EXE en el directorio %Windir% y para activarse la próxima vez que se inicie el sistema, genera las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinHelp" = "%System%\WinHelp.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinGate initialize" = "%System%\WinGate.exe -remoteshell"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Remote Procedure Call Locator" = "RUNDLL32.EXE reg678.dll ondll_reg"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Program In Windows" = "%System%\IEXPLORE.EXE"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"Run" = "RAVMOND.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Luego, el gusano se auto-instala como servicios, para lo cual agrega las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Windows\Management Instrumentation Driver Extension]
"DisplayName" = "Windows Management Instrumentation Driver Extension"
"ObjectName" = "LocalSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetMeeting\Remote Desktop (RPC) Sharing]
"DisplayName" = "NetMeeting Remote Desktop (RPC) Sharing"
"ObjectName" = "LocalSystem"

Tambien modifica el archivo WIN.INI, editando la etiqueta "Run":

WIN.INI
[windows]
run=%System%\ravmond.exe

El gusano además modificará la siguiente llave, con el propósito de activarse cada vez que se ejecute cualquier archivo con extensión .EXE:

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
default = "%System%\win.exe "%1" %*

Igualmente modificará la siguiente llave, con el propósito de activarse cada vez que se ejecute cualquier archivo con extensión .TXT:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
default = "%System%\winrpc.exe "%1" %*

Al siguiente re-inicio del sistema, el gusano se activará en memoria y terminará los procesos de los activirus y software de control que tengan las siguientes cadenas en sus nombres:

KV
KAV
Duba
NAV
kill
Gate
McAfee
Symantec
SkyNet
rising
RavMon.exe
Rfw.exe

Luego el gusano se copiará a las carpetas y sub-carpetas de redes con recursos compartidos, con los siguientes nombres de archivos:

Are you looking for Love.doc.exe
autoexec.bat
The world of lovers.txt.exe
How To Hack Websites.exe
Panda Titanium Crack.zip.exe
Mafia Trainer!!!.exe
100 free essays school.pif
AN-YOU-SUCK-IT.txt.pif
Sex_For_You_Life.JPG.pif
CloneCD + crack.exe
Age of empires 2 crack.exe
MoviezChannelsInstaler.exe
Star Wars II Movie Full Downloader.exe
Winrar + crack.exe
SIMS FullDownloader.zip.exe
MSN Password Hacker and Stealer.exe

Asimismo compartirá la carpeta temporal de %Windir%, como "GAME" con un completo acceso, la cual contiene varias copias del gusano con nombres aleatorios, haciendo uso de las siguientes extensiones:

.dat.exe
.gif.exe
.doc.exe
.avi.exe
.rm.exe
.htm.exe
.mp3.exe
.jpg.exe
.txt.exe

Luego el gusano crea 10 hilos simultáneos que se conectan a equipos remotos IPC$ y ejecuta un agresivo ataque para obtener la cuenta del Administrador usando los siguientes passwords:

[en blanco]
"!@#$"
"!@#$%"
"!@#$%^"
"!@#$%^&"
"!@#$%^&*"
"0 "
"000000"
"00000000"
"007"
"1"
"110"
"111"
"111111"
"11111111"
"12"
"121212"
"123"
"123123"
"1234"
"12345"
"123456"
"1234567"
"12345678"
"123456789"
"123abc"
"123asd"
"2002"
"2003"
"2600"
"321"
"54321"
"654321"
"666666"
"888888"
"88888888"
"a"
"aaa"
"abc"
"abc123"
"abcd"
"abcdef"
"abcdefg"
"admin"
"Admin"
"admin123"
"administrator"
"Administrator"
"alpha"
"asdf"
"asdfgh"
"computer"
"database"
"enable"
"god"
"godblessyou"
"guest"
"Guest"
"home"
"Internet"
"Login"
"login"
"love"
"mypass"
"mypass123"
"mypc"
"mypc123"
"oracle"
"owner"
"pass"
"passwd"
"password"
"Password"
"pc"
"pw"
"pw123"
"pwd"
"root"
"secret"
"server"
"sex"
"sql"
"super"
"sybase"
"temp"
"temp123"
"test"
"test123"
"win"
"xp"
"xxx"
"yxcv"
"zxcv"

Si logra acceder, el gusano libera el archivo NetServices.exe en la carpeta \admin$\system32 y ejecuta este archivo como el Servicio "Microsoft NetWork FireWall Services".

Otro componente llamado WIN32VXD.DLL también es usado como Backdoor y para robar Claves de Acceso. Esta librería exporta la función SetHook() para ejecutar este proceso. El gusano emplea esta librería para buscar direcciones de correo usando como claves los signos "@" y "<>".

El gusano también busca posibles nombres de usuario y calves de acceso ubicando las cadenas "password" y "username" desde los procesos activos.

La información capturada será almacenada en estos archivos:

%system%\win32add.sys
%system%\win32pwd.sys

Finalmente, la información es enviada a "helo_dll@163.com" usando el smpt.163.com. El asunto del mensaje de correo usado es "333www".

Para actuar como Backdoor, el gusano usa los archivos .DLL que liberó inicialmente. Abre los puertos 1092 y 20168 e inmediatamente envía un mensaje de correo notificando remotamente al hacker, que el sistema infectado está en línea y puede ser accedido con entera libertad.

Verifica el parámetro remoto shell y genera unas rutinas backdoor, como un hilo en Lsass.exe, a través de los puertos 1092 y 20168. Lsass.exe es un componente del sistema que permite que el gusano se instale en la memoria aún el programa principal haya terminado.

El COMMAND.COM o el CMD.EXE maneja la sesión shell remota y cuando se conecta al puerto 1092, aún cuando se hay ingresado la Clave de Acceso correcta, el gusano muestra un mensaje de error, con el obejto de engañar a otros hackers:

"Sorry, Your PassWord not right"

Muestra este mismo mensaje de 2 a 4 veces, en forma consecutiva hasta que la Clave de Acceso correcta sea ingresada.

El gusano también abre el puerto 6000 para poder comunicares con otros hilos. A diferencia de otros puertos que intenta abrir, sin embargo el puerto 6000 no es usado como Puerta Trasera (Backdoor) ya que no soporta las funcionalidades básicas de un Backdoor de Control Remoto.

Así este puerto es usado únicamente para comunicaciones locales con sus propios hilos, los cuales son asignados para capturar información del IP del sistema, nombre del usuario y su password, los cuales son almacenados en el archivo C:\NETLOG.TXT.

Además de su propagación vía Correo y Redes con recursos compartidos, el gusano infecta los archivos con extensión .EXE de todas las unidades de los discos fijos.

Crea dos mutex con los nombres I---WORM---IPC---20168 y I-WORM-Local-Remote-20168 Running!, para indicar que el gusano ya está siendo ejecutado.

Los payloads de este gusano/troyano/backdoor son los siguientes:

Se auto-envía masivamente a través de mensajes de correo con dos rutinas diferentes.
Captura las direcciones contenidas en los archivos HTML y responde a todos los mensajes que ingresan a la carpeta de the Microsoft Outlook y Outlook Express.
Se propaga e infecta archivos de unidades de disco de redes con recursos compartidos.
Como Troyano/Backdoor ingresa a través de diversos puertos.
Intenta ingresar a los Servidores como "Administrador" con Claves de Acceso pre-definidas.
Captura información del sistema y la envía al hacker a través de direcciones aleatorias de correo
Obtiene el control de Acceso Remoto de los sistemas infectados.
Borra archivos y formatea el disco duro.

PER ANTIVIRUS® versiones 8.0 y 8.1, con registro de virus al 31 de Mayo del 2003 detectan y eliminan eficientemente este gusano/troyano/backdoor.