PE_LOVGATE.GEN

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ウイルスは、以下のファイルを作成します。

• %User Temp%\~.tmp.dll
• %System%\reg678.dll
• %System%\Task688.dll
• %System%\win32vxd.dll
• %System%\111.dll

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

ウイルスは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System%\WinDriver.exe
• %System%\winexe.exe
• %System%\WinGate.exe
• %System%\WinHelp.exe
• %System%\IEXPLORE.exe
• %System%\RAVMOND.exe
• %System%\kernel66.dll

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

自動実行方法

ウイルスは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ll_reg
ImagePath = "Rundll32.exe Task688.dll ondll_server "

ウイルスは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows
run = "RAVMOND.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Remote Procedure Call Locator = "RUNDLL32.EXE reg678.dll ondll_reg"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
WinHelp = "%System%\WinHelp.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
WinGate initialize = "%System%\WinGate.exe -remoteshell"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Program In Windows = "%System%\IEXPLORE.EXE"

ウイルスは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ll_reg

他のシステム変更

ウイルスは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
exefile\shell\open\
command
(Default) = "%System%\winexe.exe "%1" %*"

(註：変更前の上記レジストリ値は、「""%1" %*"」となります。)