ウイルス情報
かかりやすさ:中
ラブゲート・AC
( Worm.LovGate.ac )
メール添付ファイルから感染する[メール無断送信]ワーム
- 別名_:
- --
- 更新日:
- 2004年5月14日(金)
- ■感染したらどうなる
-
- パソコン内のメールアドレスを自動で探し出し、自身のエンジンを使用して、ウイルスを添付したメールを送信するだけでなく、「Microsoft Outlook」または、「Outlook Express」の受信トレイのメッセージに、ウイルスを添付したメッセージを返信する可能性もあります。
- ■感染しないためには
-
- メールに添付された添付ファイルを実行しないようにしてください。
使用される拡張子は「.bat、.cmd、.exe、.pif、.scr、.zip、.rar」です。詳しくは「詳細情報」をご覧ください。
- ■どうすれば直る
-
- 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
- ■詳細情報
-
- 送信されるメールの形式は以下の通りですのでご注意ください。
2通りの送信方法があります。
自身のSMTPエンジンを使用してメールを送信する場合
差出人:感染したパソコンからランダムにメールアドレスを取得し、なりすまします。
件名:以下のいずれかの可能性があります。
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
本文:以下のいずれかの可能性があります。
pass
Mail failed. For further assistance, please contact!
The message contains Unicode characters and has been sent as a binary attachment.
It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
添付ファイル:ファイル名は以下の可能性があります。
使用される拡張子は「.bat、.cmd、.exe、.pif、.scr、.zip、.rar」です。
document
readme
doc
text
file
data
test
message
body
Microsoft Outlookまたは、Outlook Express の受信トレイのメッセージからメッセージを返信する場合
件名:Re:(元のメッセージの件名)
本文:元のメッセージに以下を返信します。
<domain.com> account auto-reply:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
> Get your FREE <domain.com> account now! <
※返信後にメッセージは削除されます。
添付ファイル:以下の可能性があります。
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
- レジストリの値を作成
添付ファイルを実行すると、ワームがシステムディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。
以下に自分自身をコピーします。
%Windir%\SysTra.exe
%System%\ravmond.exe
%System%\iexplore.exe
%System%\WinHelp.exe
%System%\kernel66.dll
システムディレクトリに以下が作成されます。
MSJDBC11.DLL
MSSIGN30.DLL
ODBC16.DLL
LMMIB20.DLL
システム起動時にウイルスが実行されるように、レジストリの値を作成します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Program In Windows = %SysDir%\iexplore.exe
Protected Storage = RUNDLL32.exe MSSIGN30.DLL ondll_reg
VFW Encoder/Decoder Settings = RUNDLL32.exe MSSIGN30.DLL ondll_reg
WinHelp = %SysDir%\WinHelp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
SystemTra = %WinDir%\SysTra.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
run = RAVMOND.exe
%SysDir%は、システムディレクトリです。
%WinDir%は、ウィンドウズディレクトリです。
- 大量メール送信
このウイルスは、ハードディスク内を検索して、以下の文字列を含むファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
sandra
linda
julie
jimmy
jerry
helen
debby
claudia
brenda
anna
alice
brent
adam
ted
fred
jack
bill
stan
smith
steve
matt
dave
dan
joe
jane
bob
robert
peter
tom
ray
mary
serg
brian
jim
maria
leo
jose
andrew
sam
george
david
kevin
mike
james
michael
alex
john
- 以下の文字列を含むプログラムを強制終了します。
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
NAV
Duba
KAV
KV
- 自分自身を大量コピー
ドライブ C から Z まで、すべてのドライブのルートフォルダに、以下のファイルをコピーします。
ファイル名:以下の可能性があります。
WORK
setup
Important
bak
letter
pass
拡張子:「.rar、.zip」になります。
これらには以下のファイルが含まれています。
ファイル名:以下の可能性があります。
WORK
setup
Important
book
email
PassWord
拡張子:「.exe、.com、.pif、.scr」になります。
- ネットワークを介した繁殖
リモート共有に以下をコピーし、特定のユーザ名、パスワードを使用して、リモート共有に接続を試みます。
ADMIN$\SYSTEM32\NETMANAGER.EXE
以下のようにサービスとして、自動実行されます。
サービス名:Windows Management NetWork Service Extensions
実行ファイルのパス:NetManager.exe -exe_start
種類:自動