Очередная волна почтового червя семейства Lovgate

[25.03.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении новой модификации почтового червя массовой рассылки, именуемой Win32.HLLM.Lovgate.2.

В отличие от своего предыдущего варианта, о стремительном распространении которого мы сообщали ровно месяц назад, нынешний штамм поражает компьютеры только под управлением Windows NT/2000/XP.

Червь массово рассылает себя по всем адресам, содержащимся в непрочитанных пользователем пораженного компьютера письмах, повторяя в генерируемых им сообщениях тему и сопроводительный текст оригинального письма, за которыми следует отрывок из стихотворения Редьяра Киплинга "If":

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment. 

Рассылаемые червем сообщения сопровождаются вложениями в виде исполняемых файлов с расширениями .exe. Кроме того, червь рассылает себя по адресам обнаруженным им в файлах с расширениями .htm и .html. В этом случае их тема и сопроводительный текст могут варьироваться. Вложения к таким письмам имеют расширения исполняемых файлов .exe, .src или .pif, а названия выбираются из списка, хранящегося в теле червя.

После попадания на компьютер в системную директорию Windows, червь помещает несколько своих копий:

iexplore.exe,

ravmond.exe,

windriver.exe,

wingate.exe,

winhelp.exe и

winrpc.exe.

Кроме того, он создает в той же директории несколько файлов в формате .dll, которые являются троянскими компонентами червя. Антивирусная программа Dr.Web^® определяет эти файлы как Win32.HLLM.Lovegate.2.

Для запуска своих вредоносных копий червь вносит изменения в ключи автозапуска системного реестра, а также меняет запись в реестре, определяющую приложение для открытия текстовых файлов, что приводит к запуску червя при любой попытке пользователя открыть текстовый файл. Поселившись в систему червь открывает порт 20168 и отправляет почтовое уведомление о его открытии, после чего в режиме удаленного доступа становится возможным проникновение в систему и осуществление в ней несанкционированных пользователем действий.

Настоящий вариант червя обладает способностью распространяться по доступным для совместного пользования дискам локальной сети, при этом он пытается подключиться к удаленным системам в качестве администратора сети, используя значительно расширенный с времен создания предыдущей версии словарь паролей и, в случае успеха, копирует себя в удаленную систему под именем netservices.exe. Данный файл червь запускает в виде процесса под названием Microsoft NetWork FireWall Services.

Win32.HLLM.Lovgate.2 определяется и обезвреживается антивирусными программами семейства Dr.Web^® как на Windows-машинах, так и на почтовых серверах UNIX. При старте сканера Dr.Web^® для Windows (с настройками "по умолчанию") процесс червя обнаруживается и удаляется из оперативной памяти компьютера, а также производится соответствующая чистка системного реестра Windows и обработка файлов автозапуска. При работающем антивирусном мониторе SpIDer Guard, а также при использовании антивирусного почтового фильтра SpIDer Mail, пользователь надежно защищен от заражения компьютера данным червем через электронную почту или по локальной сети.