PE_LOVGATE.GEN
W32/Lovgate.l@M (McAfee), W32.HLLW.Lovgate.G (ESET), W32/Lovgate.M (Panda)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
マルウェアタイプ:
ファイル感染型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ウイルスは、以下のファイルを作成します。
- %User Temp%\~.tmp.dll
- %System%\reg678.dll
- %System%\Task688.dll
- %System%\win32vxd.dll
- %System%\111.dll
(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
ウイルスは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\WinDriver.exe
- %System%\winexe.exe
- %System%\WinGate.exe
- %System%\WinHelp.exe
- %System%\IEXPLORE.exe
- %System%\RAVMOND.exe
- %System%\kernel66.dll
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
自動実行方法
ウイルスは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ll_reg
ImagePath = "Rundll32.exe Task688.dll ondll_server "
ウイルスは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows
run = "RAVMOND.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Remote Procedure Call Locator = "RUNDLL32.EXE reg678.dll ondll_reg"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
WinHelp = "%System%\WinHelp.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
WinGate initialize = "%System%\WinGate.exe -remoteshell"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Program In Windows = "%System%\IEXPLORE.EXE"
ウイルスは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ll_reg
他のシステム変更
ウイルスは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
exefile\shell\open\
command
(Default) = "%System%\winexe.exe "%1" %*"
(註:変更前の上記レジストリ値は、「""%1" %*"」となります。)