Win32/LovGate.worm. 107008
<br>
<br>
다른 이름
<br>
<br>
감염시 위험도 3등급(위해)
<br>
<br>
확산 위험도 1등급 현재 확산도 1등급
<br>
<br>
종류 웜 감염 형태 실행파일
<br>
<br>
감염 OS 윈도우 감염 경로 메일/네트워크
<br>
<br>
최초발견일 2003-03-23 국내발견일 2003-03-23
<br>
<br>
특정활동일 특정일 활동 없음 제작국 중국
<br>
<br>
진단 가능 엔진 2003.03.24.00 치료 가능 엔진 2003.03.24.00
<br>
<br>
※ 표기된 날짜 이후의 엔진으로 진단 및 치료가 가능합니다.
<br>
<br>
증상 - 메일및 암호가 취약한 관리목적 공유폴더로(또한 읽기/쓰기 가능한 폴더및 네트워크 드라이브 포함) 전파된다.
<br>
- 20168 포트가 오픈된다.
<br>
<br>
내용 Win32/LovGate.worm.107008 는 2003년 3월 23, 24일 국내 사용자로부터 다수의 샘플을 접수 받았다. 이 웜은 기존에 알려진 Win32/LovGate.worm.84992 와 Win32/LovGate.worm.78848 의 변형중의 하나이다.
<br>
<br>
- 전파되는 메일형식
<br>
<br>
웜은 두가지 형식으로 메일을 발송한다.
<br>
<br>
- 첫 번째 (SMTP)
<br>
<br>
* 다음중에서 랜덤하게 선택되어진다.
<br>
<br>
* 제목:
<br>
<br>
- Reply to this!
<br>
- Let's Laugh
<br>
- Help
<br>
- Attached one Gift for u..
<br>
- Hi Dear
<br>
- Hi
<br>
- See the attachement
<br>
- Last Update
<br>
- for you
<br>
- Great
<br>
<br>
* 본문:
<br>
<br>
- For further assistance, please contact!
<br>
- Copy of your message, including all the headers is attached.
<br>
- This message was created automatically by mail delivery software (Exim).
<br>
- It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
<br>
- Adult content!!! Use with parental advisory.
<br>
- Patrick Ewing will give Knick fans something to cheer about Friday night.
<br>
- Send me your comments...
<br>
- This is the last cumulative update.
<br>
- Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
<br>
- Send reply if you want to be official beta tester.
<br>
<br>
* 첨부파일명:
<br>
<br>
- About_Me.txt.pif
<br>
- driver.exe
<br>
- Doom3 Preview!!!.exe
<br>
- enjoy.exe
<br>
- YOU_are_FAT!.TXT.pif
<br>
- Source.exe
<br>
- Interesting.exe
<br>
- README.TXT.pif
<br>
- images.pif
<br>
- Pics.ZIP.scr
<br>
<br>
<br>
<br>
- 전파대상 및 방법
<br>
<br>
웜은 다음과 같은 파일에서 메일주소를 가져온다.
<br>
<br>
- *.ht* (SMTP 를 이용해서 보낼때)
<br>
- *.dbx (MAPI 를 이용해서 보낼때)
<br>
<br>
웜은 두 가지 프로토콜을 이용하여 웜이 첨부된 메일을 발송한다. 첫 번째는 중국의 모 SMTP 서버를 이용하고 웜 내부에 하드코딩된 형식으로 발송한다. 두 번째는 MAPI를 이용하여 받은 편지함에 답장하는 형태로 발송하게된다. 또한 윈도우 2000 의 관리목적 공유폴더 사용자 암호 관리 취약점을 이용하여도 전파된다. 그리고 읽기/쓰기 가능한 공유폴더및 네트워크 드라이브에도 '네트워크 전파방법'에 나열된 웜 파일을 복사해둔다.
<br>
<br>
- 실행후 증상
<br>
<br>
메일또는 네트워크로 전파된 웜을 실행하면 윈도우 시스템 폴더에(일반적으로 \Windows\System, \Winnt\System32) 다음과 파일을 복사, 생성한다. (테스트시 윈도우 9x 시스템에서는 웜이 정상적으로 실행되지 않았다.)
<br>
<br>
- 111.dll : 81,920 바이트의 크기를 가지며 백도어 모듈과 웜 제작자에게 메일을 발송하는 모듈 Win-Trojan/LovGate.81920 으로 진단
<br>
- ily668.dll : 상 동
<br>
- kernel66.dll : 상 동
<br>
- reg678.dll : 상 동
<br>
- Task688.dll : 상 동
<br>
- IEXPLORE.EXE : 107,008 바이트 크기를 가지며 웜 본체
<br>
- RAVMOND.exe : 상 동
<br>
- WinDriver.exe : 상 동
<br>
- WinGate.exe : 상 동
<br>
- WinHelp.exe : 상 동
<br>
- winrpc.exe : 상 동
<br>
<br>
<br>
<br>
웜은 다음의 레지스트리 값에 자신을 기록하여 부팅시 또는 *.TXT 확장자가 실행시 실행되도록 한다.
<br>
<br>
1. 웜 본체
<br>
<br>
<br>
HKEY_LOCAL_MACHINE\
<br>
SOFTWARE\
<br>
Microsoft\
<br>
Windows\
<br>
CurrentVersion\
<br>
Run Program In Windows = C:\윈도우 시스템 폴더\IEXPLORE.EXE
<br>
<br>
2. 웜 본체
<br>
<br>
HKEY_LOCAL_MACHINE\
<br>
SOFTWARE\
<br>
Microsoft\
<br>
Windows\
<br>
CurrentVersion\
<br>
Run WinGate initialize = C:\윈도우 시스템 폴더\WinGate.exe -remoteshell
<br>
<br>
3. 웜 본체
<br>
<br>
HKEY_LOCAL_MACHINE\
<br>
SOFTWARE\
<br>
Microsoft\
<br>
Windows\
<br>
CurrentVersion\
<br>
Run WinHelp = C:\윈도우 시스템 폴더\WinHelp.exe
<br>
<br>
<br>
<br>
4. 웜 본체 (*.TXT 파일 실행시)
<br>
<br>
HKEY_CLASSES_ROOT\
<br>
txtfile\
<br>
shell\
<br>
open\
<br>
command (Default)= winrpc.exe %1
<br>
<br>
5. 백도어 모듈
<br>
<br>
HKEY_LOCAL_MACHINE\
<br>
SOFTWARE\
<br>
Microsoft\
<br>
Windows\
<br>
CurrentVersion\
<br>
Run Remote Procedure Call Locator = RUNDLL32.EXE reg678.dll ondll_reg
<br>
<br>
그리고 다음의 레지스트리에도 기록이 된다.
<br>
<br>
1. (서비스로 등록시)
<br>
HKEY_LOCAL_MACHINE\
<br>
SYSTEM\
<br>
ControlSet001\
<br>
Services\
<br>
Windows Management Instrumentation Driver Extension
<br>
ImagePath = C:\윈도우 시스템 폴더\WinDriver.exe -start_server
<br>
<br>
2. (서비스로 등록시)
<br>
HKEY_LOCAL_MACHINE\
<br>
SYSTEM\
<br>
ControlSet\
<br>
Services\
<br>
Windows Management Instrumentation Driver Extension
<br>
ImagePath = C:\윈도우 시스템 폴더\WinDriver.exe -start_server
<br>
<br>
3.
<br>
HKEY_CURRENT_USER\
<br>
Software\
<br>
Microsoft\
<br>
Windows NT\
<br>
CurrentVersion\
<br>
Windows run = RAVMOND.exe
<br>
<br>
코드상에서는 윈도우 98 시스템인 경우 Win.ini 파일의 Run= RAVMOND.exe를 기록후 실행 되도록 되어 있지만 테스트시 웜은 윈도우9x 에서 실행되지 않았다.
<br>
<br>
또한 웜과 백도어 모듈은 윈도우 NT 계열에서는 서비스 형태로 등록되어 부팅시마다 실행된다. 다음과 같다.
<br>
<br>
* 백도어 모듈
<br>
<br>
- ll_reg = Rundll32.exe Task688.dll ondll_server
<br>
<br>
- NetMeeting Remote Desktop (RPC) Sharing = Rundll32.exe Task688.dll ondll_server
<br>
<br>
* 웜 본체
<br>
<br>
- Windows Management Instrumentation Driver Extension = C:\윈도우 시스템 폴더\WinDriver.exe -start_server
<br>
<br>
- Microsoft NetWork FireWall Services = C:\윈도우 시스템 폴더\NetServices.exe
<br>
<br>
- 그외 증상
<br>
<br>
웜은 TCP 20168 포트를 오픈해두는데 포트가 오픈된 경우 악의적인 사용자가 접근할 수도 있다. 그리고 웜이 설치된 시스템의 정보(시스템 명, 사용자 명등)를 웜 제작자에게 발송하게 된다.
<br>
<br>
이 정보는 2003년 3월 24일 10시 00분에 최초 작성 되었으며 2003년 3월 25일 09시 15분 최종 수정 되었다.
<br>
<br>
치료방법 1. V3를 실행후 최신엔진으로 업데이트 한다.
<br>
<br>
2. 검사할 드라이브를 지정하고 검사를 시작한다.
<br>
<br>
3. 프로세스에서 실행중인 Win32/LovGate.worm.107008 이 진단되면 안내되는 메시지의 '강제종료후 치료' 클릭한다. 이때 로컬 드라이브에 존재하는 파일은 자동삭제된다.
<br>
<br>
4. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 웜은 치료(삭제)한다. 이때 진단되는 Win32/LovGate.worm.107008 는 반드시 '강제종료후 치료'를 버튼을 눌러 삭제하도록 한다.
<br>
<br>
5. V3 사용자 경우 변경된 레지스트리값은 자동수정된다. (V3Pro 2000 / 2002 Deluxe 이상 사용자)
<br>
<br>
참고사항 - 윈도우 2000 시스템에서 사용자 암호를 설정하지 않거나 또는 누구나 알기 쉬운 계정및 암호는 보안상 안전하지 않으므로 주의해야한다. 취약한 계정을 계속 사용할 경우 웜을 치료(삭제)해도 재감염되므로 주의해야한다.
<br>
<br>
<br>
<br>
<!-- -->
