w32/lovgate.ab

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/lovgate.ab

w32.lovgate.ab@mm
tipo: gusano
tama?o: 183,296 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6 al 08/07/2004 descripción:
w32/lovgate.ab@mm , es un gusano de envi? masivos de e-mail, utiliza su propio motor smtp para enviarse a todas las direcciones de e-mail que encuentre en el computador atacado.
tambi?n se difunde a trav?s de recursos compartidos en la red, y responde a todos los mensajes de e-mail que encuentre en la bandeja de entrada de microsoft outlook del computador atacado.
caracter?sticas del mensaje de e-mail:
asunto: [puede ser cualquiera de la siguiente lista]
test hi hello mail delivery system mail transaction failed server report status error cuerpo: [puede ser cualquiera de la siguiente lista]
mail failed. for further assistance, please contact! the message contains unicode characters and has been sent as a binary attachment. its the long-awaited film version of the broadway hit. the message sent as a binary attachment. archivo adjunto: [nombre variable con extensiones .rar, .com, .scr, .exe y .pif ]
-----------------------------------------
tambi?n el gusano responder? a todos los e-mails que encuentre en la bandeja de entrada de microsoft outlook con el siguiente texto:
asunto: re: [asunto original]
cuerpo:
[nombre del usuario infectado] wrote:
= = = =
>[cuerpo del mensaje original]
= = = =
[dominio del remitente] account auto-reply:
[seguido por alguno de los siguientes textos]
if you can keep your head when all about you are losing theirs and blaming it on you; if you can trust yourself when all men doubt you, but make allowance for their doubting too; if you can wait and not be tired by waiting, or, being lied about,dont deal in lies, or, being hated, dont give way to hating, and yet dont look too good, nor talk too wise; ... ... more look to the attachment. > get your free [dominio del remitente] account now! <
archivo adjunto: [cualquiera de la siguiente lista]
the hardcore game-.pif sex in office.rm.scr deutsch bloodpatch!.exe s3msong.mp3.pif me_nude.avi.pif how to crack all gamez.exe macromedia flash.scr setup.exe shakira.zip.exe dreamweaver mx (crack).exe starwars2 - cloneattack.rm.scr industry giant ii.exe dsl modem uncapper.rar.exe joke.pif britney spears nude.exe.txt.exe i am for u.doc.exe --------------------------------------
cuando el gusano se ejecuta se copia así mismo en:
windows \systra.exe system \hxdef.exe system \iexplore.exe system \ravmond.exe system \internet.exe system \svch0st.exe system \kernel66.dll system \odbc16.dll system \msjdbc11.dll system \mssign30.dll system \win32vxd.dll nota:
- windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
tambi?n crea un archivo llamado autorun.inf en todas las unidades ra?z del computador atacado a excepci?n de la unidad de cd-rom, adem?s se copia as? mismo como command.exe
además modifica algunas entradas en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
program in windows= system \iexplore.exe
hkey_local_machine\software\microsoft\windows\currentversion\run
hardware profile= system \hxdef.exe
hkey_local_machine\software\microsoft\windows\currentversion\run
vfw encoder/decoder settings= rundll32.exe mssign30.dll ondll_reg
hkey_local_machine\software\microsoft\windows\currentversion\run
protected storage= rundll32.exe mssign30.dll ondll_reg
hkey_local_machine\software\microsoft\windows\currentversion\run
program in windows= system \iexplore.exe
hkey_local_machine\software\microsoft\windows\currentversion\run
shell extension= system \spollsv.exe
hkey_local_machine\software\microsoft\windows\currentversion\run
s0undman= system \svch0st.exe
tambi?n adiciona la siguiente entrada en el registro para ejecutarse como un servicio en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\runservices
systemtra= windows \systra.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
com++ event system= windows \drwtsn16.exe
seguidamente en sistemas con windows xp/2000/nt adiciona una entrada en el registro para ejecutar al gusano en cada reinicio del sistema:
hkey_current_user\software\microsoft\windowsnt\currentversion\windows
run=ravmond.exe
seguidamente se copia a si mismo en todas las carpetas y subcarpetas compartidas de la red como los siguientes archivos:
winrar.exe internet explorer.bat documents and settings.txt.exe microsoft office.exe windows media player.zip.exe support tools.exe windowsupdate.pif cain.pif msdn.zip.pif autoexec.bat findpass.exe client.exe i386.exe winhlp32.exe xcopy.exe mmc.exe crea los servicios windows management protocol v.0 (experimental) y _reg, que mapea con rundll32.exe msjdbc11.dll ondll_server
busca computadores en la red local e intentar? autentificarse como administrador utilizando los siguientes passwords:
guest administrator zxcv yxcv xxx win test test temp temp sybase super sex secret pwd pw password owner oracle mypc mypc mypass mypass love login login internet home godblessyou god enable database computer alpha admin admin abcd aaa 88888888 2600 2003 2002 123asd 123abc 9 123 121212 11111111 110 007 00000000 000000 pass 54321 password passwd server sql !@#$ ^&* !@#$ ^& !@#$ ^ !@#$ asdfgh asdf !@#$ 111 root abc abcdefg abcdef abc 888888 666666 111111 admin administrator guest 654321 321 si logra establecer la autentificaci?n tratará de copiarse como:
\\[nombre del computador remoto]\admin$\system32\netmanager.exe
seguidamente intentará iniciarlo como el servicio windows management network service extensions
finalizar? todos los procesos que contienen en su nombre alguno de las siguientes cadenas de texto:
rising skynet symantec mcafee gate rfw.exe ravmon.exe kill nav duba
finalmente el gusano tambi?n realiza las siguientes acciones:
ejecuta su componente troyano en el puerto 6000, de esta manera roba informaci?n del computador infectado y lo guarda dentro del archivo netlog.txt que se encuentra en la unidad c:, para luego enviarla por e-mail.
crea una carpeta compartida de nombre media en la computadora atacada la cual es mapeada como windows \media .


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo