Flere varianter af W32.Lovgate.worm, er i omløb - den nye c-variant er mest aggresiv.
W32.Lovgate.worm, er både en traditionel fildelingsorm der spreder sig via tilgængelige shares, og en bagdør, som videresender følsomme oplysninger via e-mail således at en ondsindet person kan overtage kontrolen med den inficerede maskine.
Den vedhæftede fil, som ankommer via e-mail og som indeholder ormekoden, er pakket med ASPack. Hvis den vedhæftede fil åbnes, vil ormen droppe en række filer til den inficerede maskine, herunder en bagdør, som videresender cachede passwords til e-mail adresser, som tilhører folkene bag ormen. Disse e-mail adresser befinder sig i ormens kode.
Ormen indeholder sin egen SMTP server, som den anvender til at videresende viruskode til e-mail adresser, som høstes fra den inficerede PC. W32.Lovgate-C svarer desuden automatisk på alle modtagne e-mails, som ankommer i indbakken.
W32.Lovgate-C.worm dropper en trojansk hest med et vilkårligt navn af typen .dll til windows systemmappen. Denne fil indeholder en password tyv. Komponenten danner yderligere to filer i system mappen: Win32pwd.sys og Win32add.sys.
Ormen vil ankomme via e-mail med følgende indhold:
Emne: [tom]
Indhold:
I'll try to reply as soon as possible.
Take a look at the attachment and send me your opinion!
Vedhæftet:
fun.exe
images.exe
news_doc.exe
s3msong.exe
pics.exe
billgt.exe
midsong.exe
PsPGame.exe
hamster.exe
SETUP.EXE
tamagotxi.exe
joke.exe
docs.exe
serachURL.exe
Card.EXE
pics.exe
Hvis den vedhæftede fil åbnes vil ormen kopiere sig til windows mappen under følgende filnavne:
WinRpcsrv.e
syshelp.exe
winrpc.exe
WinGate.exe
rpcsrv.exe
Desuden modificeres win.ini således, at ormen reaktiveres ved genstart af systemet. Det sker via en run=[filnavn.exe].
|