Virus Lovgate.C

Efectos:

Lovgate.C produce los siguientes efectos:

• Crea copias de sí mismo en todos los directorios y subdirectorios compartidos. Estos ficheros podrán ser ejecutados por usuarios de otros ordenadores conectados por red al ordenador infectado. Al hacerlo, estos otros ordenadores también se infectarán.
• Si el ordenador afectado está conectado a una red, trata de ganar acceso a los demás ordenadores conectados a esa red para copiar en ellos un fichero con el código vírico.
• Abre un puerto TCP de comunicaciones (normalmente el 10168), con lo que convierte al ordenador afectado en vulnerable ante posibles ataques desde el exterior.
• Envía información confidencial del ordenador afectado al creador del virus. Concretamente, envía a la dirección hacker117@163.com  la siguiente información: nombre de la máquina, nombre de usuario y dirección IP. Este correo tiene también el siguiente texto: My I-WORM-and-IPC-20168 running!

Metodo de infección:

Lovgate.C crea los siguientes ficheros:

• Un gran número de copias de sí mismo en los directorios y subdirectorios de red compartidos. Estos ficheros tienen nombres aleatorios. Algunos de ellos pueden ser: FUN.EXE, HUMOR.EXE, DOCS.EXE, S3MSONG.EXE, MIDSONG.EXE, BILLGT.EXE, CARD.EXE, SETUP.EXE, SEARCHURL.EXE, TAMAGOTXI.EXE, HAMSTER.EXE, NEWS_DOC.EXE, PSPGAME.EXE, JOKE.EXE, IMAGES.EXE o PICS.EXE.
• RPCSRV.EXE, WINRPC.EXE, WINRPCSRV.EXE, SYSHELP.EXE y WINGATE.EXE, en el directorio de sistema de Windows. Estos dos ficheros también son copias del gusano.
• ILY.DLL, TASK.DLL, REG.DLL y 1.DLL, en el directorio de sistema de Windows. Al activarse, estos ficheros actuan como troyanos.

Lovgate.C modifica el siguiente fichero:

• WIN.INI. Con ello consigue que cada vez que se inicie el sistema se ejecute una copia del virus, concretamente se ejecutará el fichero RPCSRV.EXE.

Lovgate.C crea las siguientes claves en el Registro de Windows para ejecutarse cada vez que se inicia el sistema:

• HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  Module Call initialize RUNDLL32.EXE reg.dll ondll_reg
• HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  syshelp %sysdir%\ syshelp.exe
• HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  Wingate initialize %sysdir%\ Wingate.exe -remoteshell
  (Donde %sysdir% es el directorio de sistema de Windows)

Lovgate.C modifica la siguiente entrada en el Registro:

• HKLM\ Software\ Classes\ txtfile\ shell\ open\
  C:\ WINDOWS\NOTEPAD.EXE %1
  Cambia el valor C:\ WINDOWS\NOTEPAD.EXE %1 por winrpc.exe %1
  Con ello consigue ejecutarse a sí mismo cada vez que el usuario del equipo afectado activa un fichero con extensión TXT.

El componente troyano de Lovgate.C se pude activar de 3 maneras diferentes:

• Como parte del gusano. El propio gusano cuenta con un componente troyano que abre un puerto de comunicaciones.
• Como un fichero aparte (los ficheros  con extensión DLL que el gusano crea en el directorio de sistema). El gusano crea estos ficheros que, al activarse, actuan como troyanos.
• En máquinas NT, el gusano crea el proceso LSASS.EXE, que es el encargado de actuar como troyano.

Metodo de propagación:

Lovgate.C se propaga a través de unidades de red compartidas y por correo electrónico.

Propagación por unidades de red compartidas:

Lovgate.C sigue el siguiente proceso de propagación:

• Crea copias de sí mismo en los directorios y subdirectorios de red compartidos. Intenta acceder a estos directorios incluso cuando el acceso a los mismos está protegido con una contraseña. Para ello, el virus introduce las contraseñas más típicas:
  123, 321, 123456, 654321, guest, administrator, admin, 111111, 666666, 888888, abc, abcdef, abcdefg, 12345678 y abc123.
• Cuando se consigue validar con éxito en otro ordenador de la red, el virus trata de acceder al directorio de sistema de Windows, donde crea un fichero llamado STG.EXE, que es una copia del virus.
• A continuación, Lovgate.C se activa, haciéndose pasar por el programa Microsoft NetWork Services FireWall, con lo que ese otro ordenador de la red resultará también infectado.

Propagación a través del correo electrónico:

Lovgate.C envía un gran número de mensajes de correo electrónico con ficheros infectados. Se envía mediante MAPI, utilizando un servidor propio de correo SMTP.163.COM en lugar de obtener el del usuario infectado.

Lovgate.C envía los siguientes mensajes:

• Responde a todos los mensajes que encuentra en la Bandeja de entrada. Lo hace de manera progresiva, es decir, no responde a todos los contactos a la vez. Obtiene los mensajes de esta bandeja, toma nota de la dirección y dominio de cada email y les reenvía un mensaje con las siguientes características:
  
  Asunto: YAHOO.COM Mail auto-reply:
  
  Cuerpo:
  I'll try to reply as soon as possible.
  Take a look to the attachment and send me your opinion!
  
  Fichero adjunto: Será uno de los siguientes: BILLGT.EXE, CARD.EXE, DOCS.EXE, FUN.EXE, HAMSTER.EXE, HUMOR.EXE, IMAGES.EXE, JOKE.EXE, MIDSONG.EXE, NEWS_DOC.EXE, PICS.EXE, PSPGAME.EXE, S3MSONG.EXE, SEARCHURL.EXE, SETUP.EXE o TAMAGOTXI.EXE .
  Mientras envía estos mensajes, crea el fichero CH0016.TMP en el directorio de ficheros temporales.
• Busca ficheros cuya extensión empiece por HT en una serie de directorios. Dentro de los ficheros que encuentra, busca direcciones de correo electrónico. A las direcciones de correo que encuentra les envía mensajes con un fichero infectado. Si quiere comprobar las características de los posibles mensajes de correo que envía a estas direcciones pulse aquí.
  
  Lovgate.C busca estos ficheros en los siguientes directorios: el directorio donde ha sido ejecutado el gusano, en el directorio de Windows y en la ista de directorios localizados en el siguiente valor del Registro:
  
  HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Shell Folders\ Personal

Otros detalles:

Lovgate.C está escrito en lenguaje de programación visual C++. El fichero que genera la infección tiene un tamaño de 78848 Bytes y está comprimido con Aspack.