Lovgate.O

LOVGATE.O, destructivo gusano/troyano/backdoor infecta vía Correo y puerto TCP controlando los sistemas.

W32/Lovgate.O@mm, Troj/Lovgate.O

Lovgate.O es un gusano/troyano/backdoor reportado el 24 de Septiembre del 2003, variante del Lovgate, que se propaga a través de mensajes de correo con diversos formatos.

Infecta servidores remotos de redes con recursos compartidos, tomando el control de los sistemas por medio de un backdoor, a través del puerto TCP 10168

Infecta Windows NT/2000/XP, incluyendo los servidores NT/2000, está desarrollado en Visual C++ con una extensión de 436 KB y no se encuentra comprimido.

El gusano se auto-envía a todas las direcciones de correo extraídas de los archivos con extensión *.HT* de los directorios actual, raíz y de las carpetas especificadas en la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Shell Folders\Personal]

Luego abre cada archivo hallado y busca en todas las cadenas de texto "mailto:"

Haciendo uso de su propio motor SMTP (Simple Mail Transfer Protocol) auto-envía masivamente los mensajes de correo con uno de los siguientes formatos:

Asunto: Roms
Contenido: Test this ROM! IT ROCKS!.
Anexado: Roms.exe

Asunto: Documents
Contenido: Send me your comments...
Anexado: Docs.exe

Asunto: Evaluation copy
Contenido: Test it 30 days for free.
Anexado: Setup.exe

Asunto: Pr0n!
Contenido: Adult content!!! Use with parental advisory.
Anexado: Sex.exe

Asunto: Beta
Contenido: Send reply if you want to be official beta tester.
Anexado: _SetupB.exe

Asunto: Do not release
Contenido: This is the pack ;)
Anexado: Pack.exe

Asunto: Help
Contenido: I'm going crazy... please try to find the bug!
Anexado: Source.exe

Asunto: Last Update
Contenido: This is the last cumulative update.
Anexado: LUPdate.exe

Asunto: Cracks!
Contenido: Check our list and mail your requests!
Anexado: CrkList.exe

Asunto: The patch
Contenido: I think all will work fine.
Anexado: Patch.exe

Una vez activado en la memoria, el gusano clasifica las redes con recursos compartidos que tienen acceso de lectura-escritura y se auto-copia en cada una de las mismas usando nombres de archivos aleatorios elegidos de la siguiente lista:

FUN.EXE
HUMOR.EXE
DOCS.EXE
S3MSONG.EXE
MIDSONG.EXE
BILLGT.EXE
CARD.EXE
SETUP.EXE
SEARCHURL.EXE
TAMAGOTXI.EXE
HAMSTER.EXE
NEWS_DOC.EXE
PSPGAME.EXE
JOKE.EXE
IMAGES.EXE
PICS.EXE

Luego libera varias copias de sí mismo en el directorio %Windir% con los los siguientes nombres:

WinRpcsrv.exe
syshelp.exe
winrpc.exe
WinGate.exe
rpcsrv.exe

Para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"syshelp"= "%System%\syshelp.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinGate initialize"= "%System%\WinGate.exe-remoteshell"

El gusano modifica el archivo WIN.INI para activarse al reiniciarse en Windows 95/98/Me:

WIN.INI
[windows]
run = rpcsrv.exe

Posteriormente modificará el registro para ejecutar su código viral cada vez que se abra un archivo de texto:

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
default = "%Windir%\Notepad.exe %1" = "winrpc.exe %1*

HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command]
default = "%Windir%\Notepad.exe %1" = "winrpc.exe %1*

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Actuando como Backdoor el gusano ejecuta varias copias de sí mismo, cada una con distinta funcionabilidad. Una de ellas ejecuta su código una vez que se abre un archivo de texto en el sistema infectado. La otra abre una conexión de socket TCP vía el puerto 10168.

Un usuario remoto puede conectarse a dicho puerto, creando una consola de comandos en modo MS D.O.S en el sistema infectado, con la cual tomará el control remoto del sistema.

Antes de establecer una conexión el gusano solicita un Password y en caso éste sea incorrecta, muestra el siguiente mensaje:

User Access Verification
Your Password:?
Sorry, Your PassWord Not Right.
Your PassWord:

Luego autentica al usuario remoto antes de otorgarle los privilegios de Administrador con el siguiente mensaje:

User Access Verification
Your Password:?
Sorry, Your PassWord Not Right.
Your PassWord: xyz123
OK! Please Enter:

Esta consola remota permitirá al intruso acceder a los sistemas y tomar su control absoluto.

Los payloads de este gusano/troyano/backdoor son los siguientes:

Se auto-envía masivamente a través de mensajes de correo con diferentes formatos aleatorios
Captura las direcciones contenidas en los archivos *.HT*
Se propaga e infecta archivos de unidades de disco de redes con recursos compartidos.
Como Troyano/Backdoor ingresa a través del puerto 10168.
Crea una consola de acceso remoto en modo MS D.O.S.
Obtiene el control absoluto de los sistemas infectados.
Borra archivos y formatea el disco duro.

PER ANTIVIRUS® versiones 8.2 y 8.3, con registro de virus al 24 de Septiembre del 2003 detecta y elimina eficientemente este gusano/troyano/backdoor.