x
OFERTA 48H
Si ya eres cliente de nuestra protección para particulares,
renueva ahora con un 50%
RENOVAR AHORA
x
OFERTA ESPECIAL
Si ya eres cliente de nuestra protección para particulares,
renueva ahora con un 50%
RENOVAR AHORA
x
OFERTA HALLOWEEN
Aprovéchate de unos
descuentos de miedo
COMPRA HOY AL 50%
x
OFERTA NAVIDAD
Compra el mejor antivirus
al mejor precio
COMPRA HOY AL 40%
x
OFERTA ESPECIAL
Compra el mejor antivirus
al mejor precio
COMPRA HOY AL 50%
x
OFERTA BLACKFRIDAY
Compra el mejor antivirus
al mejor precio
SOLO HOY HASTA -70%
x
OFERTA CYBERMONDAY
Compra el mejor antivirus
al mejor precio
(Solo para particulares)
SOLO HOY HASTA -70%
Active Scan. Analiza Gratis tu PC
Panda Protection

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Lovgate.F

PeligrosidadPeligrosidad mediaDañoDañinoPropagaciónPoco extendido

Efectos 

Lovgate.F produce los siguientes efectos:

  • Crea copias de sí mismo en todos los directorios y subdirectorios compartidos. Estos ficheros podrán ser ejecutados por usuarios de otros ordenadores conectados por red al ordenador infectado. Al hacerlo, estos otros ordenadores también se infectarán.
  • Si el ordenador afectado está conectado a una red, trata de ganar acceso a los demás ordenadores conectados a esa red para copiar en ellos un fichero con el código vírico.

Metodo de Infección 

Lovgate.F crea los siguientes ficheros:

  • Un gran número de copias de sí mismo en los directorios y subdirectorios de red compartidos. Estos ficheros tienen nombres aleatorios. Algunos de ellos pueden ser: 100 FREE ESSAYS SCHOOL.PIF, AGE OF EMPIRES 2 CRACK.EXE, AN-YOU-SUCK-IT.TXT.PIF, ARE YOU LOOKING FOR LOVE.DOC.EXE, AUTOEXEC.BAT, CLONECD + CRACK.EXE, HOW TO HACK, WEBSITES.EXE, MAFIA TRAINER!!!.EXE, MOVIEZCHANNELSINSTALER.EXE, MSN PASSWORD HACKER AND STEALER.EXE, PANDA TITANIUM CRACK.ZIP.EXE, SEX_FOR_YOU_LIFE.JPG.PIF, SIMS FULLDOWNLOADER.ZIP.EXE, STAR WARS II MOVIE FULLDOWNLOADER.EXE, THE WORLD OF LOVERS.TXT.EXE, WINRAR + CRACK.EXE .
  • WINDRIVER.EXE, RAVMOND.EXE, IEXPLORE.EXE, WINGATE.EXE, WINHELP.EXE y WINRPC.EXE en el directorio de sistema de Windows. Estos dos ficheros también son copias del gusano.

  • KERNEL66.DLL, 111.DLL, ILY668.DLL, REG678.DLLTASK688.DLL, sólo crea estos ficheros en ordenadores con el sistema operativo Windows XP/2000/NT instalado. Estos ficheros realizan funciones del troyano de tipo backdoor.

Lovgate.F crea las siguientes claves en el Registro de Windows para ejecutarse cada vez que se inicia el sistema:

  • HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run=
    Remote Procedure Call Locator “RUNDLL32.EXE reg678.dll ondll_reg”
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Windows\ run
    RAVMOND.exe

  • HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run=
    Winhelp “%systemdir%\ Winhelp.exe”
  • HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run=
    Wingate initialize “%systemdir%\ Wingate.exe -remoteshell”
  • HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run=
    Program In Windows “%systemdir%\ IEXPLORE.EXE”
    (Donde %systemdir% es el directorio de sistema de Windows).

Lovgate.F modifica la siguiente entrada en el Registro:

  • HKLM\ Software\ Classes\ txtfile\ shell\ open\ command\
    C:\ WINDOWS\NOTEPAD.EXE %1

    Cambia el valor C:\ WINDOWS\NOTEPAD.EXE %1 por winrpc.exe %1
    Con ello consigue ejecutarse a sí mismo cada vez que el usuario del equipo afectado activa un fichero con extensión TXT.

En ordenadores NT, Lovgate.F crea los siguientes servicios:

  • Nombre: ll_reg
    Parametros: Rundll32.exe Task.dll ondll_server
  • Nombre: NetMeeting Remote Desktop (RPC) Sharing
    Parametros: %sysdir%\WinRpcsrv.exe -start_server
  • Nombre: Windows Management Instrumentation Driver Extension
    Parametros: Rundll32.exe Task.dll ondll_server

Método de Propagación 

Lovgate.F se propaga a través de unidades de red compartidas y por correo electrónico.

Propagación por unidades de red compartidas:

Lovgate.F sigue el siguiente proceso de propagación:

  • Crea copias de sí mismo en los directorios y subdirectorios de red compartidos. Intenta acceder a estos directorios incluso cuando el acceso a los mismos está protegido con una contraseña. Para ello, el virus introduce los nombres de usuario y las contraseñas más típicas:
    Nombre de usuario: guest, administrator.
    Contraseñas: Zxcv, yxcv, xxx, xp, win, test123, test, temp123, temp, sybase, super, sex, secret, pwd, pw123, pw, pc, Password, owner, oracle, mypc123, mypc, mypass123, mypass, love, login, Login, Internet, home, godblessyou, god, enable, database, computer, alpha, admin123, Admin, abcd, aaa, a, 88888888, 2600, 2003, 2002, 123asd, 123abc, 123456789, 1234567, 123123, 121212, 12, 11111111, 110, 007, 00000000, 000000, 0, pass, 54321, 12345, password, passwd, server, sql, !@#$%^&*, !@#$%^&, !@#$%^, !@#$%, asdfgh, asdf, !@#$, 1234, 111, 1, root, abc123, 12345678, abcdefg, abcdef, abc, 888888, 666666, 111111, admin, administrator, guest, 654321, 123456, 321 y 123.
  • Cuando se consigue validar con éxito en otro ordenador de la red, el virus trata de acceder al directorio de sistema de Windows, donde crea un fichero llamado STG.EXE, que es una copia del virus.
  • A continuación, Lovgate.F se activa, haciéndose pasar por el programa Microsoft NetWork Services FireWall, con lo que ese otro ordenador de la red resultará también infectado.

Propagación a través del correo electrónico:

Lovgate.F envía un gran número de mensajes de correo electrónico con ficheros infectados. Se envía mediante MAPI, utilizando un servidor propio de correo SMTP.163.COM en lugar de obtener el del usuario infectado.

Para no levantar sospechas, Lovgate.F se va enviando poco a poco. Mientras envía los mensajes, crea el fichero CH0015.TMP en el directorio de ficheros temporales.

Lovgate.F envía los siguientes mensajes:

  • Busca ficheros cuya extensión empiece por HT en los siguientes directorios: el directorio donde ha sido ejecutado el gusano, en el directorio de Windows y en la ista de directorios localizados en el siguiente valor del Registro:
    HKEY_CURRENT_USER\ Software\Microsoft\ Windows\ CurrentVersion\ Explorer\ Shell Folders\ Personal
    Dentro de los ficheros que encuentra, busca direcciones de correo electrónico. A las direcciones de correo que encuentra les envía mensajes con un fichero infectado.

    Si quiere comprobar las características de los posibles mensajes de correo que envía a estas direcciones pulse aquí.
  • Responde a todos los mensajes que encuentra en la Bandeja de entrada. Obtiene los mensajes de esta bandeja, toma nota de la dirección y dominio de cada email y les reenvía un mensaje con las siguientes características:

    Asunto:
    YAHOO.COM Mail auto-reply:


    Cuerpo:

    Bandeja de entrada>.
     auto-reply:
    If you can keep your head when all about you
    Are losing theirs and blaming it on you;
    If you can trust yourself when all men doubt you ,
    But make allowance for their doubting too;
    If you can wait and not be tired by waiting,
    Or, being lied about,don't deal in lies,
    Or, being hated, don't give way to hating,
    And yet don't look too good, nor talk too wise;
    ... ... more  look to the attachment.
    Get your FREE < Dominio> now! <
    En ocasiones, el Dominio es por defecto YAHOO.COM

    Fichero adjunto: Será uno de los siguientes:
    BRITNEY SPEARS NUDE.EXE.TXT.EXE, DEUTSCH BLOODPATCH!.EXE, DREAMWEAVERMX (CRACK).EXE, DSL MODEM UNCAPPER.RAR.EXE, HOW TO CRACK ALL GAMEZ.EXE, I AM FOR U.DOC.EXE, INDUSTRY GIANT II.EXE, JOKE.PIF, MACROMEDIA FLASH.SCR, ME_NUDE.AVI.PIF, S3MSONG.MP3.PIF, SETUP.EXE, SEX IN OFFICE.RM.SCR, SHAKIRA.ZIP.EXE, ARWARS2 - CLONEATTACK.RM.SCR o THE HARDCORE GAME-.PIF.

Otros Detalles  

Lovgate.F está escrito en lenguaje de programación visual C++. El fichero que genera la infección tiene un tamaño de 107008  Bytes y está comprimido con ASpack.