A Lovegate féreg elkapható fertőzött e-mail üzenet megnyitásával, de belső hálózatokon keresztül, a Windows alatt megosztott mappákban is terjed. Ebben az esetben különféle fájlnevek alatt helyezi el saját példányait: Fun.exe, humor.exe, docs.exe, s3msong.exe, midsong.exe, billgt.exe, Card.EXE, SETUP.EXE, searchURL.exe, tamagotxi.exe, hamster.exe, news_doc.exe, PsPGame.exe, joke.exe, images.exe, pics.exe
A fertőzött levelek ilyen vagy hasonló témájúak lehetnek:
• Subject: Documents
Body: Send me your comments…
• Subject: Roms
Body: Test this ROM! IT ROCKS!.
• Subject: Pr0n!
Body: Adult content!!! Use with parental advisory.
• Subject: Evaluation copy
Body: Test it 30 days for free.
• Subject: Help
Body: I’m going crazy… please try to find the bug!
• Subject: Beta
Body: Send reply if you want to be official beta tester.
• Subject: Do not release
Body: This is the pack ;)
• Subject: Last Update
Body: This is the last cumulative update.
• Subject: The patch
Body: I think all will work fine.
• Subject: Cracks!
Body: Check our list and mail your requests!
Amikor a Lovegate megfertőz egy gépet, különféle fájlnevek alatt menti el egy-egy példányát a Windows rendszerkönyvtárába: WinGate.exe, WinRpcsrv.exe, syshelp.exe, winprc.exe, rpcsrv.exe
Ezeknek a fájloknak a futtatásáról az alábbi registry-bejegyzések gondoskodnak:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun] alatt
“WinGate initialize” = “%winsysdir%WinGate.exe -remoteshell”
“Syshelp” = “%winsysdir%syshelp.exe”
“Module Call initialize” = “rundll32.exe reg.dll ondll_reg”
(A ‘%winsysdir%’ változó itt a Window rendszerkönyvtárra utal.)
A féreg létrehoz még egy további registry-bejegyzést is, amelynek értéke:
[HKEY_CLASSES_ROOTtxtfileshellopencommand]@ = %winsysdir%winprc.exe “%1”
Ennek a beállításnak a hatására fertőzött gépen a féreg bármely szöveges állomány megtekintésekor lefut, bár ezt a felhasználó többnyire nem veszi észre, hiszen a Lovgate a Notepad alkalmazást hívja a TXT fájlok megjelenítéséhez.
A Lovgate ezen kívül Windows 9x/Me operációs rendszerű gépek esetén a konfigurációs állományok módosításával is igyekszik biztosítani saját lefuttatását, a WIN.INI fájlban a [Windows] rész alatt létrehoz egy új sort, ezzel a szöveggel: Run=rpcsrv.exe
Ezek után a féreg a Windows rendszerkönyvtárba menti károkozó rutinját, amelyet az alábbi fájlok hordoznak: ily.dll, task.dll, reg.dll. Ezek a programrészletek képesek a billentyűzeten begépelt adatok mentésére (ún. keylogger funkció), fájlokban is kutatnak jelszavak után. Az így összegyűjtött adatokat a féreg a win32pwd.sys és a win32add.sys állományokban tárolja, majd elektronikus levelezés (SMTP) vagy trójai program üzemmódban eljuttatja a féreg írójának, a
A trójai üzemmód port száma 10168 TCP, míg a féreg saját e-mail küldő rutinja által használt levelezőszerver címe
Végül a Lovgate féreg további sikeres terjedése érdekében megkísérel automatikusan egy fertőzött üzenet küldésével válaszolni minden beérkező levélre. Ehhez a funkcióhoz az Office Outlook programot használja fel, azonban az ezzel kapcsolatos féregkód-részlet hibásnak tűnik, így az nem minden esetben hajtódik végre. A féreg átnézi még a hypertext formátumú (.ht* kiterjesztésű) állományokat is, további levélcímek után kutatva.
Nézd meg a legfrissebb cikkeinket a címlapon!
