W32/Lovgate.C@mm, Troj/Lovgate.C

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP, desarrollado en Visual C++ con una extensión de 77 KB y comprimido con el utilitario ASPack: 

http://www.aspack.com

Como gusano de correo cuenta con varias rutinas. Emplea su propio SMTP (Simple Mail Transfer Protocol), el SMTP.163.com y las librerías MAPI (Messaging Application Programming Interface) auto-enviándose a todos los buzones de correo de la Libreta de Direcciones de MS Outlook. La primera rutina emplea un engañoso truco, consistente en imitar un mensaje de auto-respuesta, motivando la confianza del receptor. 

Utiliza el mismo archivo anexado de la copia que infectará a las unidades de disco de redes compartidas. 

Su segunda rutina de envío consiste en buscar las direcciones contenidas en los archivos con extensión .HTM, .HTML y .HTA, que se encuentren en Windows o en la carpeta Mis documentos. 

Finalmente, su tercera rutina emplea aleatoriamente uno de los siguientes 10 formatos: 

Formato 1
Asunto: Documents
Contenido: Send me your comments
Anexado: Docs.exe 

Formato 2
Asunto: Roms 
Contenido: Test this ROM! IT ROCKS!
Anexado: Roms.exe 

Formato 3
Asunto: Pr0n!
Contenido: Adult content!!! Use with parental advisory. 
Anexado: Sex.exe 

Formato 4
Asunto: Evaluation copy
Contenido: Test it 30 days for free.
Anexado: Setup.exe 

Formato 5
Asunto: Help 
Contenido: I'm going crazy... please try to find the bug!
Anexado: Source.exe 

Formato 6
Asunto: Beta 
Contenido: Send reply if you want to be official beta tester. 
Anexado: _SetupB.exe

Formato 7
Asunto: Do not release 
Contenido: This is the pack ;) 
Anexado: Pack.exe 

Formato 8
Asunto: Last Update 
Contenido: This is the last cumulative update. 
Anexado: LUPdate.exe 

Formato 9
Asunto: The patch 
Contenido: I think all will work fine.
Anexado: Patch.exe 

Formato 10
Asunto: Cracks! 
Contenido: Check our list and mail your requests! 
Anexado: CrkList.exe

Para actuar como Troyano/backdoor ingresa a través del puerto TCP 10168, en caso éste se encuentre abierto y envía toda la  información a 2 direcciones de correo (las cuales ya han sido deshabilitadas). 

54love@fescomail.net (deshabilitada)
hacker117@163.com   (deshabilitada)

El puerto 10168 es usado por el ezbounce, que es un proxy muy configurable del IRC y contiene poderosas opciones, tales como "spoofing", acceso de control remoto, etc. Fue creado Murat Deligonul, al parecer sin la intención de que sea usado como un troyano/backdoor:  

http://druglord.freelsd.org/ezbounce

El troyano se auto-copia a la carpeta %System% con cualquiera de los siguientes nombres de archivos:

• rpcsrv.exe 
• syshelp.exe 
• WinGate.exe 
• winrpc.exe 
• WinRpcsrv.exe

Para activarse la siguiente vez que se inicie el sistema crea las siguientes llaves:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
syshelp = "%System%\syshelp.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
WinGate initialize = "%System%\WinGate.exe - remoteshell"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Module Call initialize = "RUNDLL32.EXE reg.dll ondll_reg"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Para el mismo propósito de auto-activación modifica la entrada "run" del WIN.INI en Windows. 

WIN.INI
[windows]
run=C:\%Windir%\rpcsvr.exe

Luego modifica la llave de registro con el objeto de ejecutarse cada vez que se abra cualquier archivo de texto: 

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
default = "winrpc.exe %1"

Reemplazando la información original en esta llave de registro, el troyano se auto-configura como el programa por defecto que abrirá cualquier archivo de texto, incluyendo cookies y archivos de bitácora Spyware (log files).

Para infectar en todas las carpetas y sub-carpetas compartidas de una red local, este troyano/backdoor se auto-copiará con cualquiera de los siguientes nombres:

• billgt.exe
• card.exe
• docs.exe
• fun.exe
• hamster.exe
• humor.exe
• images.exe
• joke.exe
• midsong.exe
• news_doc.exe
• pics.exe
• PsPGame.exe
• s3msong.exe
• searchURL.exe
• setup.exe
• tamagotxi.exe
• Mailing Routine I 

Además de enviar la información capturada y extraída de los sistemas atacados, el poseedor del Backdoor Cliente podrá tomar el control de los mismos.

Para infectar remotamente, intenta conectarse a servidores remotos IPC$ (Internet Process Communication) los cuales permiten que una aplicación pueda controlar a otra o compartir la misma información o procesos de varias aplicaciones sin interferencia entre las mismas, para lo cual use las siguientes Claves de Acceso para intentar ingresar como Administrador:

• 123
• 321
• 123456
• 654321
• guest
• administrator
• admin
• 111111
• 666666
• 888888
• abc
• abcdef
• abcdefg
• 12345678
• abc123 

Si la conexión se realiza, el gusano se auto-copia como STG.EXE en la ruta:\admin\system32\carpeta, para luego activar el archivo como un proceso denominado "Microsoft NetWork Services FireWall" y se desconecta a al sistema remoto, desde la Red, cancelando su conexión.

Genera por lo menos 100 hilos para esta rutina de infección remota, crea un hilo cada 200 segundos y usa semáforos para el seguimiento de la cantidad de hilos creados. 

Si encuentra la siguiente llave de registro, libera una copia de sí mismo en la ruta %system%\ssrv.exe: 

[HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install] 

En Windows NT 4.0, 2000 y XP copia en la carpeta %System% los siguientes archivos: 

• Ily.dll
• reg.dll
• task.dll
• 1.dll 

Luego los registra como servicios usando los siguientes nombres:

• Windows Management Extension
• dll_reg 

Los archivos con extensión .DLL son copias similares y están adheridas al código viral del gusano, el cual crea el servicio "Windows Management Extension" al invocar al comando "Rundll32.exe Task.dll ondll_server". Posteriormente invoca a los comandos "Rundll32.exe ily.dll ondll_install" y "Rundll32.exe ily.dll ondll_reg" para auto-instalarse y registrarse. 

Para activar el archivo .DLL al iniciar el sistema, crea la siguiente llave: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Module Call initialize = "RUNDLL32.EXE reg.dll ondll_reg"

En Windows 95/98 el gusano se oculta registrándose como un proceso de servicio, para lo cual adecua un mensaje de Evento denominado "My I-WORM-and-IPC-20168 running!", que usa como referencia de las ejecuciones exitosas del gusano activado en la memoria.  

Los payloads de este gusano/troyano/backdoor son los siguientes:

• Se auto-envía masivamente a través de tres rutinas diferentes.
• Se propaga e infecta archivos de unidades de disco de redes compartidas.
• Como Troyano/Backdoor ingresa a través del puerto 10168 usando la aplicación "ezbounce". 
• Captura información del sistema y la envía a 2 direcciones de correo (actualmente desactivadas).
• Se conecta remotamente a servidores IPC$
• Puede enviar comandos a través del Chat.
• Obtiene el control de Acceso Remoto a los sistemas infectados.
• Borra archivos y formatea el disco duro.

PER ANTIVIRUS® versión 7.9 con registro de virus al 25 de Febrero del 2003 detecta y elimina  eficientemente este troyano/backdoor.