Win32.Lovgate.AB

別名 Win32/LovGate.AB.Worm, W32/Lovgate.R@mm (F-Secure), I-Worm.LovGate.w (Kaspersky), WORM_LOVGATE.W (Trend), W32/Lovgate.x@MM (McAfee), W32/Lovgate.X-mm (WildList) カテゴリ Win32 タイプ ワーム 文書公開日 11/02/2004 最終更新日 10/28/2004

被害 : 破壊 : 感染 :

特徴

Lovgate.ABは、電子メール、ネットワーク共有およびKazaaファイル共有ネットワークを経由して増殖するワームです。 アーカイブ ファイルに含まれて配布されることもあります。 コンパニオン ウイルスであり、バックドア機能も兼ね備えています。 このワームはWindows 9xシステム上では動作しません。 弊社では、このワームの複数の亜種が流行しているという報告を受けています。 これらの亜種は機能面では同一の特徴をもっていますが、さまざまな方法を用いて圧縮されているため、ファイルのサイズは一定ではありません。

感染方法

実行されると、ワームのコピーが以下の名前でSystemディレクトリに追加されます。

%System%\IEXPLORE.EXE
%System%\KERNEL66.DLL (隠しファイルに設定され、作成日は2002年になります)
%System%\RAVMOND.EXE
%System%\WinHelp.exe
%System%\hxdef.exe
%Windows%\SYSTRA.EXE

注： ワームが脆弱なAdministratorパスワードを使用してシステムに侵入すると、コピー「%System%\WinHelp.exe」が生成されます。

Windows起動時にワームが実行されるよう、以下のレジストリ値が作成されます。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Program In Windows = "%System%\IEXPLORE.EXE"
HKLM\Software\Microsoft\Windows\CurrentVersion\runServices\SystemTra = "%Windows%\SysTra.EXE"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Hardware Profile = "%System%\hxdef.exe"

WritePrivateProfileStringA()関数を呼び出して、コピー「RAVMOND.exe」を実行します。 Windows NT/2000/XP環境では、このコールによって以下のレジストリ値が作成されます。

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run = "RAVMOND.exe"

Windows 9x環境では、このコールはWIN.INIが以下のように改変されるためのものです。

[WINDOWS]
run=%System%\RAVMOND.exe

但し、このワームはWindows 9x上では動作しないため、この改変は行われません。

ワームはCD ROMドライブを除くCからZドライブのルートに「COMMAND.EXE」をコピーします。 そのコピーを実行するために「AUTORUN.INF」を生成し、これには以下のコマンドが含まれます。

[AUTORUN]
Open="<ドライブ名>:\COMMAND.EXE" /StartExplorer

次に以下のファイル名を使用して、バックドア コンポーネントを作成します。すべて、53,760バイトのASPack圧縮されたファイルです。

%System%\ODBC16.DLL
%System%\MSJDBC11.DLL
%System%\MSSIGN30.DLL
%System%\LMMIB20.DLL

以下のレジストリ値を作成して、バックドア コンポーネントを実行します。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\VFW Encoder/Decoder Settings = "RUNDLL32.EXE MSSIGN30.DLL  ondll_reg"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Protected Storage = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

また、ワームがNTサービス「_reg」として実行されるよう登録され、以下のキーが作成されます。

HKLM\System\CurrentControlSet\Services\_reg

CからZドライブのルートに、アーカイブ ファイルとして自身のコピーを生成します。ワームは圧縮されずにアーカイブ ファイル内に保存されるため、ファイルのサイズはワーム自体よりも若干大きくなります。ファイル名は以下から選択され、拡張子「.rar」または「.zip」が付加されます。

Important
PassWord
WORK
bak
book
email
letter
pass
setup

アーカイブ内のファイルの名前も上記から選択され、拡張子「.exe」「.com」「.pif」または「.scr」が付加されます。

ワームは同一システム上で自身のインスタンスが複数実行されないよう、イベント オブジェクト「gggggg_v10101010」を生成します。

既知のLovgateの亜種との相違点は、このワームがさらにSystemディレクトリにバックドア型トロイの木馬（61,440バイト）を埋め込むことです。

%System%\SPOLLSV.EXE
%System%\NETMEETING.EXE

以下のレジストリ値を作成して、Windows起動時にトロイの木馬を実行します。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Shell Extension = "%System%\SPOLLSV.EXE"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft NetMeeting Associates, Inc. = "%System%\NETMEETING.EXE"

以下のファイルはこのトロイの木馬が生成し、使用するものです。

%System%\A
WIN2K.TXT
WINXP.TXT
RESULTS.TXT

配布方法

電子メール経由

このワームは、直接メールを送信するか、ユーザの受信箱に入っている既存のメッセージに返信するという2つの方法で自身を配布します。受信箱のメッセージに返信する際には、Simple MAPIを使用します。その返信メッセージは以下のような形式をとり、もとのメッセージを引用して正当な返信のように見せかけてあります（[]内は一定ではありません）。

件名：

Re: [オリジナルの件名]

本文：
'[受取人の名前]' wrote:
====
>
[オリジナル メッセージ（各行の最初に「>」が付きます)]
====

 [受取人のドメイン] account auto-reply:

 If you can keep your head when all about you
  Are losing theirs and blaming it on you;
  If you can trust yourself when all men doubt you,
  But make allowance for their doubting too;
  If you can wait and not be tired by waiting,
  Or, being lied about,don't deal in lies,
  Or, being hated, don't give way to hating,
  And yet don't look too good, nor talk too wise;
  ... ... more  look to the attachment.
 > Get your FREE [受取人のドメイン] account now! <

オリジナル メッセージの最初の512文字のみを引用します。 オリジナル メッセージが512文字以上の場合、引用部分の最後に「...」を付加します。

添付ファイルの例（以下から無作為に選択されます）：

Britney spears nude.exe.txt.exe
Deutsch BloodPatch!.exe
dreamweaver MX (crack).exe
DSL Modem Uncapper.rar.exe
How to Crack all gamez.exe
I am For u.doc.exe
Industry Giant II.exe
joke.pif
Macromedia Flash.scr
Me_nude.AVI.pif
s3msong.MP3.pif
SETUP.EXE
Sex in Office.rm.scr
Shakira.zip.exe
StarWars2 - CloneAttack.rm.scr
the hardcore game-.pif

さらに、ローカル システム上のファイルから電子メール アドレスを収集します。 以下の拡張子を持つファイルを検索します。

htm
sht
php
asp
dbx
tbb
adb
wab

この場合、電子メールの差出人は収集した電子メール アドレスから選択されるか、新たに生成される可能性があります。生成された差出人のアドレスは、任意に組み合わせた小文字に「aol.com」「hotmail.com」「msn.com」や「yahoo.com」が付加されているか、以下の名前に受取人のドメインが付加されています。

件名は空欄であるか、任意の文字または以下のいずれかになる可能性があります。

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

メッセージ本文は空欄であるか、任意の文字または以下のいずれかになる可能性があります。

pass

It's the long-awaited film version of the Broadway hit. The  message  sent as  a binary attachment.

The message contains Unicode characters and has been sent as a binary attachment.

Mail  failed.  For further assistance, please contact!

添付ファイル名は、任意の文字または以下のいずれかになることがあります。

document
readme
doc
text
file
data
test
message
body

添付ファイルの拡張子は、以下のいずれかになります。

pif
scr
exe
cmd
bat

添付ファイルはZIPアーカイブ形式である可能性があります。ワームはアーカイブ内に圧縮されずに保存されます。ZIPファイル名はアーカイブ内のファイルと同一であり、拡張子「.zip」が付いています。アーカイブ内のワームの実行ファイルには、拡張子が2つ付くこともあります。 1つめの拡張子は「.doc」「.htm」「.txt」のいずれかであり、その後に任意の数のスペースが付加されます。2つめの拡張子は上記から選択され、Windowsはこれを使ってファイル タイプを調べます。

以下が、ワームによって生成される電子メールの例です。

ネットワーク共有経由

Lovgate.ABは、GuestあるいはAdministratorアカウントを使用し、デフォルトのipc$またはadmin$ネットワーク共有経由で増殖します。以下のパスワードを使ってアクセスします。

接続に成功すると、リモート システムのディレクトリに「NetManager.exe」として自身をコピーし、リモート システム上にサービス「Windows Management NetWork Service Extensions」を生成します。

現行ユーザの認証を使用して、アクセス可能なネットワーク共有を探します。 共有上で見つけた各フォルダに、以下の名前で自身のコピーを1つ生成します。

Cain.pif
Documents and Settings.txt.exe
Internet Explorer.bat
MSDN.ZIP.pif
Microsoft Office.exe
Support Tools.exe
WinRAR.exe
Windows Media Player.zip.exe
WindowsUpdate.pif
autoexec.bat
client.exe
findpass.exe
i386.exe
mmc.exe
winhlp32.exe
xcopy.exe

増殖のチャンスを高めるため、ワームのコピーを格納する「MEDIA」という名前のファイル共有を生成します。 この共有は%Windows%\Mediaディレクトリに生成され、すべての人にフル アクセスが許可されます。 ワームは上記のファイル名を使用して、自身をこのディレクトリにコピーします。

Kazaaファイル共有ネットワーク経由

このワームは以下のレジストリ値を読み込み、Kazaa共有ディレクトリを検索します。

HKCU\Software\Kazaa\Transfer\DlDir0

以下の名前および拡張子「.exe」「.scr」「.pif」や「.bat」を使用して、自身をそのディレクトリにコピーします。

BlackIcePCPSetup_creak
HEROSOFT
Passware5.3
REALONE
W32Dasm
orcard_original_creak
rainbowcrack-1.1-win
setup
word_pass_creak
wrar320sc

ファイル感染

ドライブCからZを検索し、リムーバブル、リモートまたは固定ドライブとして認識された場合、ワームはファイル感染ルーチンを実行します。拡張子「.exe」が付いているファイルに感染します。オリジナル ファイルのコピーを生成して拡張子「.zmx」を付加し、同一ロケーションに保存します。その属性は「システム」、「隠しファイル」、「読み取り専用」に設定します。つまり、拡張子「.exe」の付いたオリジナル ファイルは、ワーム コードで上書きされることになります。ワームはオリジナル ファイルに実行制御を返さないため、感染ファイルが使用できなくなります。

ペイロード

バックドア機能

このワームはバックドア機能が含まれているDLLを埋め込みます。バックドアDLLはサービスとしてインストールされ、Windows起動時に実行されるよう登録されます。

バックドアはそのアクティビティを隠すため、コピー「LMMIB20.DLL」をメモリ内の特定のプロセスに埋め込み、そこから実行することによって、その後のアクティビティが正当なプロセスから実行されているように見せかけます。感染先となるプロセスは、「SVCHOST.EXE」とさらにもう1つのプロセスが選択されます。

バックドアは同時に6ポートまでを受信待機することがあります。

また、DLLをロードするためのRUNキーを、レジストリに生成する機能も備えています。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Protected Storage = "RUNDLL32.EXE MSSIGN30.DLL  ondll_reg"

このワームは2つのポートを受信待機します。 まずTCPポート30128の受信待機を試みます。 これが失敗するとポート30129を、そしてポート30199まで試みます。 ワームは制御者に、以下の機能を提供します。

• 一時ディレクトリにファイルをダウンロードし、それを実行する
• コマンド シェルを起動する
• 指定したIPアドレスとポートにソケットを転送する

既知の亜種同様、Lovgate.ABは制御者に電子メールを送信することによって、バックドアが設置されたことを通知します。 通知先となる電子メール アドレスおよびSMTPサーバを調べるために、実行ファイルの末尾を読み取ります。 但し、この亜種ではこの動作は実行されません。

Lovgate.ABは、FTPサーバ（NetMeeting.exeおよびSpollsv.exe）をインストールします。「HXDEF.EXE」を送信するために、ローカル サブネットおよび任意のIPアドレスをスキャンして、オープンとなっているポート135を探します。弊社テストにおいて、この動作は行われなかったため、ひき続き調査中です。

プロセスの終了

このワームはNet Stopコマンドを使用して、以下のサービスを停止します。

Rising Realtime Monitor Service
Symantec AntiVirus Server
Symantec AntiVirus Client

さらに、プロセス名に以下の文字列が含まれている場合、そのプロセスを終了させます。

DUBA
GATE
KAV
KILL
MCAFEE
NAV
RAVMON.EXE
RFW.EXE
RISING
SKYNET
SYMANTEC

Analysis by Sha-Li Hsieh

対応シグネチャ/エンジン情報

＊ InoculateITおよびeTrust InoculateIT 6.0のアップデートも含む。