Lovgate.AO

LOVGATE.AO gusano/troyano/backdoor de Correo redes de recursos compartidos KaZaa trunca archivos EXE

W32/Lovgate.AO@mm, Troj/Lovgate.AO

Lovgate.AO es un destructivo gusano/troyano/backdoor reportado el 27 de Agosto del 2004, variante del Lovgate, que se propaga en mensajes de correo con Asuntos y archivos Anexados de nombres aleatorios con extensiones variables bat, cmd, com, exe, pif, scr o zip, ingresando además a servidores remotos configurados con contraseñas débiles.

Infecta archivos en unidades de red con recursos compartidos, tomando el control de los sistemas y se propaga a través de la red Peer to Peer KaZaa.

Roba información del sistema y contraseñas de un servicio de mensajería instantánea chino y la envía a través del puerto TCP 6060 por medio de un mensaje de correo a una dirección cifrada del autor del virus.

Sobre escribe las cabeceras de los archivos .EXE de todas las unidades de disco dejándolos inoperativos.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, desarrollado en Visual C++ con una extensión variable y comprimido con el utilitario ASPack:

http://www.aspack.com

Al ejecutar el archivo infectado, el gusano se copia a la carpeta %Windir% creando una carpeta con recursos compartidos de nombre Java y como unidades de disco de la F:\ a la Z:\ las que también configura con recursos compartidos.

Se copia a sí mismo a todas las unidades y carpetas creadas, con uno de los siguientes nombres:

Daemon Tools v3.41.exe
EnterNet 500 V1.5 RC1.exe
Flash2X Flash Hunter v1.1.2.pif
FoxMail V5.0.500.0.exe
Microsoft Office.exe
Minilyrics_Std_2.7.233.pif
Serv-U FTP Server 4.1.exe
Support Tools.exe
WINISO 5.3.exe
WinGate V5.0.10 Build.exe
Winamp skin_FinalFantasy.exe
Windows 2000 sp4.ZIP.exe
Windows Media Player.zip.exe
autoexec.bat
eMule-0.42e-VeryCD0407Install.exe
i386.exe

Luego copia los siguientes archivos al directorio %Windir% y a la carpeta %System% y los ejecuta:

%Windir%\Office.exe
%Windir%\Video.exe
%System%\IEXPLORE.EXE
%System%\Kernel66.dll (con atributo "oculto")
%System%\TkBellExe.exe
%System%\Update_OB.exe
%System%\hxdef.exe
%System%\iexplorer.exe
%System%\real.exe

Libera los siguientes archivos en la carpeta %System%:

Lmmib20.dll
MSSIGN30.DLL
ODBC16.dll
msjdbc11.dll

Estos archivos son los componentes del Backdoor. Luego genera el archivo update.exe en los directorios raíz de todas las unidades de disco del sistema infectado, excepto en la asignada al CD-ROM, configurado su atributos a "solo-lectura", "oculto" y "sistema".

Libera también en esa carpeta el archivo Winpatch.dll, el cual ejecuta la rutina de extracción de contraseñas del servicio Chino de mensajería instantánea y comunidad web "OICQ".

Crea y ejecuta los siguientes servicios:

_reg
Windows Management Protocol v.0

Sobre-escribe el archivo autorun.inf file en cada una de las unidades de disco con los parámetros:

[AUTORUN]
Open="C:\upDate.exe" /StartExplorer

Crea una copia de si mismo con uno de los siguientes nombres y la extensión .RAR en todos los directorios raíz de la unidades de disco, excepto A:\, B:\, C:\ o D:\

Bakeup
ghost
email r

y para activarse la próxima vez que se inicie el sistema agrega las siguientes claves:

"Microsoft Inc." = "iexplorer.exe..."
"Program In Windows" = "%System%\IEXPLORE.EXE"
"Protected Storage" = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg..."
"VFW Encoder/Decoder Settings" = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg..."
"WinHelp" = "%System%\TkBellExe.exe..."

a la llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

Para activarse cada vez que se ejecute Windows 95/98 agrega los siguientes valores:

"Installed shell32.dll" = "Office.exe..."
"SystemTra" = "C:\Windows\Video.exe"
"Soft Profile Inc" = "%System%\hxdef.exe..."

a la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

Para garantizar su ejecución en sistemas operativos basados en la tecnología NT crea la siguiente llave::

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run" = "real.exe"

Igualmente modificará la siguiente llave, con el propósito de activarse cada vez que se ejecute cualquier archivo con extensión .TXT:

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
"default" = "Update_OB.exe %1..."

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente re-inicio el gusano deteiene los siguientes servicios, si estuviesen activados:

Rising Realtime Monitor Service
Symantec AntiVirus Client
Symantec AntiVirus Server

termina los procesos en ejecución que tengan las cadenas:

Duba
Gate
KAV
KV
McAfee
NAV
RavMon.exe
Rfw.exe
SkyNet
Symantec
kill
rising

Activa un proceso de monitoreo como hilo dentro de Explorer.exe o Taskmgr.exe para ejecutar %System%\Iexplore.exe, en caso de detectar que los procesos del gusano hayan sido detenido.

El gusano almacena la información extraía en el archivo C:\Netlog.txt y se conecta al puerto TCP 6060 para enviarla a través de un mensaje de correo a una dirección cifrada del autor del virus.

Para infectar vía la red Kazaa crea una llave de registro a la que le agrega valores tales como: Profile, System, Agent, Run, Load, Start, StartUp y Loader:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
KaZaA Loader = "C:\Archivos de programa\KaZaa\KaZaa.exe"

Luego se copia a su carpeta de descarga con los siguientes nombres:

BlackIcePCPSetup_creak
HEROSOFT
Passware5.3
REALONE
W32Dasm
orcard_original_creak
rainbowcrack-1.1-win
setup
word_pass_creak
wrar320sc
[archivo_de_nombre_aleatorio]

y cualquiera de las extensiones .bat, .exe, .pif, o .scr.

Para infectar los sistemas conectados a las redes inter-conectadas, el gusano intenta validarse con todos los privilegios y para lo cual usa el nombre "Administrator" con una de las siguientes contraseñas:

!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
000000
00000000
007
110
111
111111
11111111
121212
123
123123
1234
12345
123456
1234567
12345678
123456789
123abc
123asd
2003
2004
2600
321
54321
654321
666666
888888
88888888
Admin
Administrator
Guest
Internet
Login
Password
aaa
abc
abc123
abcd
abcdef
abcdefg
admin
admin123
administrator
alpha
asdf
asdfgh
computer
database
enable
god
godblessyou
guest
home
login
love
mypass
mypass123
mypc
mypc123
oracle
owner
pass
passwd
password
pw123
pwd
root
secret
server
sex
sql
super
sybase
temp
temp123
test
test123
win
yxcv
zxcv
zzz

Si logra ingresar satisfactoriamente a cualquier sistema remoto, el gusano se copia a sí mismo en la siguiente ruta y con el nombre de archivo:

\\<remote computer name>\admin$\system32\TelePhone.exe

Y activa este archivo como el servicio "NetWork Associates Inc."

El gusano responde a todos los mensajes recepcionadas en la bandeja de entrada de los software controlados por las librerías MAPI, tales como Microsoft Outlook, de la siguiente forma:

Si el mensje entrante tiene estas caraceterísticas:

Remitente: [nombre_de_remitente@[dominio].com
Asunto: [asunto]
Contenido: [contenido_original_del_mensaje]

El gusano responderá de la siguiente forma:

Remitente: [nombre_de_remitente]@dominio.com
Asunto: [asunto]
Contenido:

[nombre_de_remitente] wrote:

[contenido_original_del_mensaje]

[nombre_de_dominio.com] account auto-reply:

... ... more details,look to the attachment.

> Get your FREE [nombre_de_dominio.com] account now! <

Anexado: uno de los siguientes archivos:

Butterfly Garden.scr
FlashFXP.exe
HyperSnap-DX v5.rar.exe
Industry Giant II.exe
MSN Messenger.exe
MacroMedia.pif
Macromedia Flash.scr
Matrix Reloaded 3D.exe
MyIE.AVI.pif
Photoshop.EXE
Shakira.zip.exe
StarWars2 - CloneAttack.rm.scr
WindowsXP Creak.exe
dreamweaver MX (crack).exe
joke.exe
s3msong.MP3.pif

El gusano captura todas las direcciones de correo contenidas en los sistemas infectados y envía un mensaje con las siguientes características:

Remitente: usa la técnica Spoofing que disfraza la identidad de los verdaderos remitentes.
Asunto, uno de los siguientes:

Delivery Status Notification (Delay)
Error
Hi
Mail Transaction Failed
Test
[en_blanco]

Contenido, uno de los siguientes:

Delivery to the following recipient has failed:
It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
Mail failed. For further assistance, Please contact!
THIS IS A WARNING MESSAGE ONLY.
The message contains Uniocode characters and has been sent as a binary attachment.
This is an automatically generated Delivery Status Notification
YOU DO NOT NEED TO RESEND YOUR MESSAGE.
[en_blanco]

Anexado, uno de los siguientes:

Body
Doc
Document
File
Message
Readme
Test
Text
data
[nombre_aleatorio]

con algunas de las siguientes extensiones:

Finalmente revisa todas las unidades de disco que contengan archivos con extensión .EXE y sobre-escribe sus cabeceras con un archivo previamente creado en %System%\temp.uuu, dejándolos inoperativos.

Los payloads de este gusano/troyano/backdoor son los siguientes:

Se auto-envía masivamente a través de mensajes de correo con Asuntos y archivos Anexados de nombres aleatorios con extensiones variables.
Captura las direcciones contenidas en el disco y responde a todos los mensajes que ingresan a la carpeta de the Microsoft Outlook.
Se propaga e infecta archivos de unidades de disco de redes con recursos compartidos.
Intenta ingresar como "Administrador" con passwords pre-definidos.
Se difunde además vía la red P2P KaZaa.
Roba contraseñas del servicio Chino de mensajería instantánea y comunidad web "OICQ".
Como Backdoor envía a través del puerto 6060 la información extraída al autor del virus en un mensaje de correo con dirección cifrada.
Obtiene el control de Acceso Remoto de los sistemas infectados.
Sobre-escribe archivos con extensión .EXE dejándolos inoperativos.

PER ANTIVIRUS® versiones 8.8 con registro de virus al 27 de Agosto del 2004 detecta y eliminan eficientemente este gusano/troyano/backdoor.