News 18.05.2003, 14:00 Uhr

W32/Lovgate (alias Supnot)

Dieser ziemlich «erfolgreiche» Wurm, der sich über E-Mails und Netzwerkverbindungen verbreitet, spioniert auch Passwörter aus.
Der Wurm schnüffelt auf infizierten Systemen Passwörter aus und versucht diese an zwei Adressen bei "163.com" (ein chinesisches Portal) zu übermitteln. Zudem bietet er seine Dienste auf den Ports 10168 und 1192 an, was es einem Eindringling von aussen erlauben könnte, verschiedene Befehle auf dem PC auszuführen.
Die Mails, mit denen er sich verbreitet, haben folgende Kennzeichen:
Betreffzeilen, derer er sich bedient:
Documents
Roms
Pr0n!
Evaluation copy
Help
Beta
Do not release
Last Update
The patch
Cracks!
Mögliche Dateinamen für die infektiösen Beilagen sind:
Docs.exe
Roms.exe
Sex.exe
Setup.exe
Source.exe
_SetupB.exe
Pack.exe
LUPdate.exe
Patch.exe
CrkList.exe
Die Mail-Texte die er verwendet:
Send me your comments...
Test this ROM! IT ROCKS!.
Adult content!!! Use with parental advisory.
Test it 30 days for free.
I'm going crazy... please try to find the bug!.
Send reply if you want to be official beta tester.
This is the pack ;)
This is the last cumulative update.
I think all will work fine.
Check our list and mail your requests!
Oder wenn er automatische Antworten an eingehende Mails verschickt, lautet der Text:
"I'll try to reply as soon as possible.
Take a look to the attachment and send me your opinion!"
Wird der Wurm ausgeführt, speichert er Kopien von sich in freigegebene Ordner, die er im allenfalls vorhandenen Netzwerk findet. Die Dateinamen könnten so lauten:
fun.exe
humor.exe
docs.exe
s3msong.exe
midsong.exe
billgt.exe
Card.EXE
SETUP.EXE
searchURL.exe
tamagotxi.exe
hamster.exe
news_doc.exe
PsPGame.exe
joke.exe
images.exe
pics.exe
Sind die Ordner passwortgeschützt, versucht er sich bei den PCs mit den Benutzernamen "guest" und "Administrator" und den folgenden Passwörtern anzumelden:
(Leeres Passwort)
guest
123
321
123456
654321
administrator
admin
111111
666666
888888
abc
abcdef
abcdefg
12345678
abc123
Wenn ihm dies gelingt, kopiert sich der Schädling via Netzwerk mit dem Namen stg.exe in den Windows-Unterordner "System32" und versucht die Datei auszuführen. Der Prozess wird als Systemdienst namens "Microsoft NetWork Services FireWall" ausgewiesen.
Der Wurm startet den Spionier-Prozess mit dem Namen "Windows Management Extension" und speichert die ausspionierten Passwörter in diese zwei Dateien:
win32pwd.sys
win32add.sys
Einige Varianten von Lovegate speichern sich mit den folgenden Dateinamen in den Windows System-Ordner, also in "C:\Windows\System\" (Win95/98/ME), bzw. in "C:\Winnt\System32" (WinNT/2000) oder in "C:\Windows\System32" (WinXP):
WinGate.exe
WinRpcsrv.exe
syshelp.exe
winprc.exe
rpcsrv.exe
Um sicher zu stellen, dass Windows ihn beim PC-Start automatisch ausführt, erzeugt er Einträge in verschiedenen Konfigurationsdateien:
In der Windows-Registry schreibt er in diesen Zweig:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
die folgenden Einträge:
"WinGate initialize" = "(Windows-System-Ordner)\WinGate.exe -remoteshell"
"syshelp" = "(Windows-System-Ordner)\syshelp.exe"
"Module Call initialize" = "rundll32.exe reg.dll ondll_reg"
Zudem fügt er diesen Registry-Schlüssel ein, der bewirkt, dass sich der Wurm automatisch startet, wenn der Benutzer des infizierten PCs eine Textdatei doppelklickt:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
@ = (Windows-System-Ordner)\winprc.exe "%1"
Handelt es sich beim infizierten PC um ein System mit Windows NT/2000 oder XP, legt sich der Lovegate-Wurm unter dem Namen SSRV.EXE im System-Ordner ab. Er kreiert auf diesen Systemen diesen Registry-Eintrag:
HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install
Und fügt diesem Registry-Zweig
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
Diesen Wert hinzu: run = rpcsrv.exe
Unter Windows 95/98/ME fügt er in der Systemdatei WIN.INI einen Eintrag im Bereich "[Windows]" ein:
[Windows]
Run=rpcsrv.exe
Einige Varianten des Lovegate-Wurms kreieren im Windows System-Ordner DLL-Dateien mit folgenden Namen. Diese sind fürs Ausschnüffeln der Passwörter zuständig:
ily.dll
task.dll
reg.dll
1.dll
Ein Wurm-Prozess überwacht den Mail-Eingang und beantwortet eintreffende E-Mails mit dem oben erwähnten Text; natürlich mit einer Wurm-Kopie in der Beilage. Ein zweiter Prozess durchsucht Dateien mit den Endungen .htm, .hta und .html nach E-Mail-Adressen und schickt sich mit den eingangs erwähnten Eigenschaften an die gefundenen Adressen weiter.
Um den Wurm zu entfernen, beseitigen Sie (mit der gebotenen Vorsicht) sämtliche Registry-Einträge, die der Wurm angelegt hat und scannen Sie Ihre Festplatten mit einem frisch aktualisierten Virenscanner. Lassen Sie alle Dateien löschen, die der Virenscanner als Lovegate-Wurm oder Lovegate-Backdoor-Komponente erkennt. Falls auf Ihrem PC Laufwerke oder Ordner freigegeben sind, setzen Sie ein etwas besseres Kennwort.
Informationen:
- F-Secure kennt ihn schlicht als Lovegate [1]
- Kaspersky nennt den Wurm I-Worm.Supnot [2]
- Bei McAfee ist er als W32/Lovgate@M bekannt [3]
- Norman nennt ihn W32/Lovgate.B@m [4]
- Panda erkennt ihn als Lovgate.C [5]
- Symantec schreibt über W32.HLLW.Lovgate.C@mm [6]
- Und TrendMicro über WORM_LOVGATE.C [7]
Update 10. März 2003:
Vom Lovegate-Wurm sind verschiedene Varianten aufgetaucht, deren Mailtexte, Betreffzeilen und Dateinamen sich von den ersten Exemplaren unterscheiden. F-Secure hat ein Beseitigungs-Werkzeug bereitgestellt, das allen bisher bekannten Varianten (A bis D) dieses Wurms den Garaus machen soll.
Laden Sie die Datei f-lgate.zip [8] herunter und entzippen Sie sie in einen Ordner Ihrer Wahl. Stellen Sie sicher, dass Sie an Ihrem System als Administrator angemeldet sind oder als Benutzer mit Administrator-Rechten. Doppelklicken Sie die entpackte Datei "F-Lgate.exe". Das Säuberungsprogramm startet, beendet nun die Systemprozesse des Wurms, scannt die Festplatte nach vorhandenen Wurm-Dateien und löscht diese.
Falls Sie Windows XP oder Windows ME haben, könnte es sein, dass die automatische Systemwiederherstellung den Wurm beim nächsten Start wieder einpflanzt. Deaktivieren Sie deshalb diese Optionen schon vorher, bis das System gesäubert ist und mindestens einmal neu gestartet wurde. Führen Sie anschliessend einen kompletten Virenscan Ihres Systems durch.
Update 18. Mai 2003:
Mitte Mai 2003 sind "in the wild" (in freier Wildbahn) neue Varianten des Lovgate-Wurms aufgetaucht. Besonders die Variante Lovgate-I hat sich relativ stark verbreitet.
Diese neueren Varianten entsprechen weitgehend den ursprünglich bekannten Lovgate-Würmern, teilweise mit etwas anderen Mail- und Betreff-Texten. Im Wesentlichen wurde gemäss F-Secure eine Komponente aktiviert, die auch bestehende Dateien infizieren kann.
Abgesehen von bisher verwendeten Dateinamen legt die neue Variante im Windows System-Ordner folgende Dateien ab:
ily668.dll, reg678.dll, Task688.dll und win32vxd.dll.
Und im Windows-Ordner selber folgende Datei, welche offenbar die Fähigkeit hat, andere ausführbare Dateien anzustecken: DRWTSN16.EXE
In der Windows Registry erstellt der Wurm einige Einträge. Zwei davon in diesem Zweig:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Diese Einträge lauten:
WinGate initialize: "(Windows-System-Ordner\WinGate.exe -remoteshell"
Remote Procedure Call Locator: "rundll32.exe reg678.dll ondll_reg"
Dazu kommt ein Eintrag in diesem Zweig:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Dieser lautet:
COM+ Event System: "DRWTSN16.EXE"
Ausserdem verändert Lovgate-I einen bestehenden Registry-Eintrag. Dieser sorgt nach der unliebsamen Manipulation dafür, dass der Wurm jedesmal ausgeführt wird, wenn der Benutzer eine EXE-Datei startet. Dieser Eintrag befindet sich hier und heisst "(Standard)":
HKEY_CLASSES_ROOT\exefile\shell\open\command
Der ursprüngliche (richtige) Wert für den Eintrag "Standard" lautet so: "%1" %*
Der Wurm trägt dort die Datei winexe.exe ein, damit der Eintrag danach so lautet:
(Windows System-Ordner)\winexe.exe "%1" %*
Wie es viele andere Viren und Würmer tun, versucht auch Lovgate-I die Prozesse von Virenscannern zu beenden. Wenn Sie Ihren Virenscanner stets aktuell halten, dann wird der Wurm von diesem erkannt und blockiert, bevor der schädliche Code ausgeführt werden kann. Seien Sie trotzdem vorsichtig mit Mailbeilagen.
Die Antivirus-Hersteller haben weitere Details über diese Wurm-Variante veröffentlicht: F-Secure hat die Informationen der ursprünglichen Beschreibung hinzugefügt und das Beseitigungs-Programm (f-lgate.zip) angepasst, damit es auch die Variante I erkennt. Zum Beispiel bei NAI ist die neue Variante als W32/Lovgate.j@M [9] bekannt, und Symantec nennt sie W32.HLLW.Lovgate.I@mm [10].



Kommentare
Es sind keine Kommentare vorhanden.