Worm/Lovegate.B und Lovegate.C

#1 Name: Worm/Lovegate.B
Alias: Worm_Lovgate.B
Type: Internet Worm
Discovered: February 24, 2003
ITW: Yes
Platform: Microsoft Windows 95/98/Me/NT/2000/XP

Bei Worm/Lovegate.B handelt es sich um um einen Wurm, der sich mit Hilfe seiner eigenen SMTP-Routine und den Adressen aus dem Outlookadressbuch selbstständig weiterverbreitet. Zusätzlich enthält der Backdorfunktionalitäten.

Bei Ausführung kopiert sich der Wurm nach \windows\%system% und nutzt die Dateinamen "syshelp.exe", "winrpc.exe", "WinGate.exe", "WinRpcsrv.exe", und "rpcsrv.exe". Zusätzlich wird die win.ini folgendermaßen manipuliert:

Run=
Run=rpcsvr.exe

Dies führt zum Start des Programms bei jedem Systemstart. Um dies abzusichern, werden noch folgende Einträge in der Registry vorgenommen:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
syshelp = "C:\windows\%system%\syshelp.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WinGate initialize = "C:\windows\%system%\WinGate.exe -remoteshell"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Module Call initialize = "RUNDLL32.EXE reg.dll ondll_reg"

Damit der Wurm beim öffnen eine .txt Datei ausgeführt wird, wird folgender Eintrag in der Registry hinzugefügt:

HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Default) = "winrpc.exe %1"

Backdoor-Funktionalität: Der Wurm kopiert in das Verzeichnis \windows\%system% die Dateien "ily.dll", "task.dll", "reg.dll", und "1.dll". nach der Registrierung des Dienst, lauscht er an Port 10618. Danach wird eine eMail an verschiedene Adressen des "Besitzers" gesendet.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#2 Name: W32.HLLW.Lovgate.C@mm
Alias: WORM_LOVGATE.C [Trend]
I-Worm.Supnot [KAV]
Art: Wurm
Größe des Anhangs: 78.848 Bytes
Betriebssystem / Software: Microsoft Windows
Art der Verbreitung: Massenmail, Netzwerkfreigaben
Verbreitungsgrad: hoch
Risiko bei Aktivierung: mittel
Schadensfunktion: Massenmail, Installation eines
Backdoors
Entfernung: aktuelle Virendefinitionen
Spezielle Entfernung: Tool
Bekannt seit: 24.01.2003
Beschreibung:


W32.HLLW.Lovgate.C@mm ist ein Internet-Wurm, der sich per Massen-E-Mail und
über Netzfreigaben verbreitet.
Bei der Infektion des Systems installiert der Wurm zusätzlich ein
Backdoor-Programm, das es einem Angreifer erlaubt, auf den Rechner über Port
10168 zuzugreifen.

Der Wurm versendet sich im Anhang einer E-Mail. Der Name der angehängten
Datei ist einer der folgenden:
Docs.exe
Roms.exe
Sex.exe
Setup.exe
Source.exe
_SetupB.exe
Pack.exe
LUPdate.exe
Patch.exe
CrkList.exe

Diese Datei ist 78.848 Bytes groß.


http://www.bsi.bund.de/av/vb/lovgatec.htm
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 Vielen Dank für die nützlichen Infos!!!

Thx
Octavus

#4 ich habe diesen virus (lovegate b) jetzt schon etwas länger
habe ihn immer mit ANTIVIR beseitigt, er ging aber nie ganz weg!
ich spiele auserdem counterstrike, glaube aber nicht, das es mit dem was zutun hat!
trotz registry durchsuchung geht er nicht weg
und jetzt findet der ANTIVIR den nichtmal mehr !!

#5 Dann lad dir KAV runter.
Deinstallier Antivir aber vorher besser.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#6 Besser: Removal Tool von Symantec runteladen:
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.lovgate.removal.tool.html
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.