Lovgate.F
PeligrosidadDañoPropagación

Efectos 

Lovgate.F produce los siguientes efectos:

• Crea copias de sí mismo en todos los directorios y subdirectorios compartidos. Estos ficheros podrán ser ejecutados por usuarios de otros ordenadores conectados por red al ordenador infectado. Al hacerlo, estos otros ordenadores también se infectarán.
• Si el ordenador afectado está conectado a una red, trata de ganar acceso a los demás ordenadores conectados a esa red para copiar en ellos un fichero con el código vírico.

Metodo de Infección 

Lovgate.F crea los siguientes ficheros:

• Un gran número de copias de sí mismo en los directorios y subdirectorios de red compartidos. Estos ficheros tienen nombres aleatorios. Algunos de ellos pueden ser: 100 FREE ESSAYS SCHOOL.PIF, AGE OF EMPIRES 2 CRACK.EXE, AN-YOU-SUCK-IT.TXT.PIF, ARE YOU LOOKING FOR LOVE.DOC.EXE, AUTOEXEC.BAT, CLONECD + CRACK.EXE, HOW TO HACK, WEBSITES.EXE, MAFIA TRAINER!!!.EXE, MOVIEZCHANNELSINSTALER.EXE, MSN PASSWORD HACKER AND STEALER.EXE, PANDA TITANIUM CRACK.ZIP.EXE, SEX_FOR_YOU_LIFE.JPG.PIF, SIMS FULLDOWNLOADER.ZIP.EXE, STAR WARS II MOVIE FULLDOWNLOADER.EXE, THE WORLD OF LOVERS.TXT.EXE, WINRAR + CRACK.EXE .

• WINDRIVER.EXE, RAVMOND.EXE, IEXPLORE.EXE, WINGATE.EXE, WINHELP.EXE y WINRPC.EXE en el directorio de sistema de Windows. Estos dos ficheros también son copias del gusano.

• KERNEL66.DLL, 111.DLL, ILY668.DLL, REG678.DLL y TASK688.DLL, sólo crea estos ficheros en ordenadores con el sistema operativo Windows XP/2000/NT instalado. Estos ficheros realizan funciones del troyano de tipo backdoor.

Lovgate.F crea las siguientes claves en el Registro de Windows para ejecutarse cada vez que se inicia el sistema:

• HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run=
  Remote Procedure Call Locator “RUNDLL32.EXE reg678.dll ondll_reg”

• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Windows\ run
  RAVMOND.exe

• HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run=
  Winhelp “%systemdir%\ Winhelp.exe”
• HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run=
  Wingate initialize “%systemdir%\ Wingate.exe -remoteshell”
• HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run=
  Program In Windows “%systemdir%\ IEXPLORE.EXE”
  (Donde %systemdir% es el directorio de sistema de Windows).

Lovgate.F modifica la siguiente entrada en el Registro:

• HKLM\ Software\ Classes\ txtfile\ shell\ open\ command\
  C:\ WINDOWS\NOTEPAD.EXE %1
  Cambia el valor C:\ WINDOWS\NOTEPAD.EXE %1 por winrpc.exe %1
  Con ello consigue ejecutarse a sí mismo cada vez que el usuario del equipo afectado activa un fichero con extensión TXT.

En ordenadores NT, Lovgate.F crea los siguientes servicios:

• Nombre: ll_reg
  Parametros: Rundll32.exe Task.dll ondll_server
• Nombre: NetMeeting Remote Desktop (RPC) Sharing
  Parametros: %sysdir%\WinRpcsrv.exe -start_server
• Nombre: Windows Management Instrumentation Driver Extension
  Parametros: Rundll32.exe Task.dll ondll_server

Método de Propagación 

Lovgate.F se propaga a través de unidades de red compartidas y por correo electrónico.

• Crea copias de sí mismo en los directorios y subdirectorios de red compartidos. Intenta acceder a estos directorios incluso cuando el acceso a los mismos está protegido con una contraseña. Para ello, el virus introduce los nombres de usuario y las contraseñas más típicas:
  Nombre de usuario: guest, administrator.
  Contraseñas: Zxcv, yxcv, xxx, xp, win, test123, test, temp123, temp, sybase, super, sex, secret, pwd, pw123, pw, pc, Password, owner, oracle, mypc123, mypc, mypass123, mypass, love, login, Login, Internet, home, godblessyou, god, enable, database, computer, alpha, admin123, Admin, abcd, aaa, a, 88888888, 2600, 2003, 2002, 123asd, 123abc, 123456789, 1234567, 123123, 121212, 12, 11111111, 110, 007, 00000000, 000000, 0, pass, 54321, 12345, password, passwd, server, sql, !@#$%^&*, !@#$%^&, !@#$%^, !@#$%, asdfgh, asdf, !@#$, 1234, 111, 1, root, abc123, 12345678, abcdefg, abcdef, abc, 888888, 666666, 111111, admin, administrator, guest, 654321, 123456, 321 y 123.
• Cuando se consigue validar con éxito en otro ordenador de la red, el virus trata de acceder al directorio de sistema de Windows, donde crea un fichero llamado STG.EXE, que es una copia del virus.
• A continuación, Lovgate.F se activa, haciéndose pasar por el programa Microsoft NetWork Services FireWall, con lo que ese otro ordenador de la red resultará también infectado.

Propagación a través del correo electrónico:

Lovgate.F envía un gran número de mensajes de correo electrónico con ficheros infectados. Se envía mediante MAPI, utilizando un servidor propio de correo SMTP.163.COM en lugar de obtener el del usuario infectado.

Para no levantar sospechas, Lovgate.F se va enviando poco a poco. Mientras envía los mensajes, crea el fichero CH0015.TMP en el directorio de ficheros temporales.

Lovgate.F envía los siguientes mensajes:

• Busca ficheros cuya extensión empiece por HT en los siguientes directorios: el directorio donde ha sido ejecutado el gusano, en el directorio de Windows y en la ista de directorios localizados en el siguiente valor del Registro:
  HKEY_CURRENT_USER\ Software\Microsoft\ Windows\ CurrentVersion\ Explorer\ Shell Folders\ Personal
  Dentro de los ficheros que encuentra, busca direcciones de correo electrónico. A las direcciones de correo que encuentra les envía mensajes con un fichero infectado.
  
  Si quiere comprobar las características de los posibles mensajes de correo que envía a estas direcciones pulse aquí.
• Responde a todos los mensajes que encuentra en la Bandeja de entrada. Obtiene los mensajes de esta bandeja, toma nota de la dirección y dominio de cada email y les reenvía un mensaje con las siguientes características:
  
  Asunto:
  YAHOO.COM Mail auto-reply:
  
  Cuerpo:
  <Nombre del usuario de la máquina afectada>
  <Cuerpo del mensaje original que encontró en la Bandeja de entrada>.
  <Dominio> auto-reply:
  If you can keep your head when all about you
  Are losing theirs and blaming it on you;
  If you can trust yourself when all men doubt you ,
  But make allowance for their doubting too;
  If you can wait and not be tired by waiting,
  Or, being lied about,don't deal in lies,
  Or, being hated, don't give way to hating,
  And yet don't look too good, nor talk too wise;
  ... ... more  look to the attachment.
  Get your FREE < Dominio> now! <
  En ocasiones, el Dominio es por defecto YAHOO.COM
  
  Fichero adjunto: Será uno de los siguientes:
  BRITNEY SPEARS NUDE.EXE.TXT.EXE, DEUTSCH BLOODPATCH!.EXE, DREAMWEAVERMX (CRACK).EXE, DSL MODEM UNCAPPER.RAR.EXE, HOW TO CRACK ALL GAMEZ.EXE, I AM FOR U.DOC.EXE, INDUSTRY GIANT II.EXE, JOKE.PIF, MACROMEDIA FLASH.SCR, ME_NUDE.AVI.PIF, S3MSONG.MP3.PIF, SETUP.EXE, SEX IN OFFICE.RM.SCR, SHAKIRA.ZIP.EXE, ARWARS2 - CLONEATTACK.RM.SCR o THE HARDCORE GAME-.PIF.

Otros Detalles  

Lovgate.F está escrito en lenguaje de programación visual C++. El fichero que genera la infección tiene un tamaño de 107008  Bytes y está comprimido con ASpack.