Symantec Deutschland
 Symantec weltweit
Produkte
Bezugsquellen
Service und Unterstützung
Händlerzentrum
Security Response
Downloads
Über Symantec
Suche
Kontakt


©1995-2010 Symantec Corporation.
All rights reserved.

Legal Notices
Datenschutz
Sicherheitswarnungen

W32.HLLW.Lovgate.C@mm

Kategorie 2
Entdeckt am: 24.02.2003
Zuletzt aktualisiert am: 26.10.2004


HINWEIS: Aufgrund der sinkenden Zahl von Meldungen hat Symantec Security Response am 28. Februar 2003 diese Bedrohung von Kategorie 3 auf Kategorie 2 herabgestuft.

W32.HLLW.Lovgate.C@mm ist eine Variante von W32.HLLW.Lovgate@mm. Dieser Wurm enthält Massen-Mail- und Backdoor-(Hintertür-)Funktionen.

Zur Weiterverbreitung versucht der Wurm, eingehende Nachrichten zu beantworten, sobald diese in der Mailbox bestimmter MAPI-kompatibler E-Mail-Clients (zu denen Microsoft Outlook gehört) eintreffen. W32.HLLW.Lovgate.C@mm simuliert damit die automatische Antwortfunktion des E-Mail-Clients und animiert gleichzeitig die Absender der ursprünglichen Mails an den infizierten Computer, die zurückgeschickten Nachrichten zu öffnen.

Zwischen dieser Variante und W32.HLLW.Lovgate@mm bestehen lediglich geringfügige funktionale Unterschiede. Diese bestimmte Variante wurde jedoch anscheinend mit einem anderen Compiler neu kompiliert und anschließend mit dem gleichen Laufzeitkomprimierungsprogramm wie W32.HLLW.Lovgate@mm gepackt.

HINWEIS: Diese Bedrohung wird mit Definitionen vom 23. Februar 2003 als W32.HLLW.Lovgate@mm erkannt. Definitionen mit Datum vom 24. Februar 2003 oder später erkennen diese Bedrohung als W32.HLLW.Lovgate.C@mm.

  

Auch bekannt als: WORM_LOVGATE.C [Trend], Win32/Lovgate.C@mm [RAV], W32/Lovgate.c@M [McAfee], I-Worm.Supnot.c [KAV], W32/Lovgate-B [Sophos], Win32.Lovgate.C [CA]
Varianten: W32.HLLW.Lovgate@mm, W32.HLLW.Lovgate.B@mm
Typ: Wurm
Infektionslänge: 78.848 Byte
Betroffene Systeme: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
Nicht betroffene Systeme: Windows 3.x, Macintosh, OS/2, UNIX, Linux

Schutz
  • Virusdefinitionen (LiveUpdate™ Weekly)

    • 24.02.2003
  • Virusdefinitionen (Intelligent Updater)

    • 24.02.2003

    Feststellung einer Bedrohung

    Im Umlauf

    Bedrohungsdaten
    Niedrig Mittel Hoch

    Im Umlauf:
    Niedrig

    Schaden:
    Mittel

    Verteilung:
    Hoch

    Verteilung

    Technische Details

    Bei Ausführung führt W32.HLLW.Lovgate.C@mm folgende Aktivitäten durch:

    1. Er kopiert sich in den Ordner %System% als:
      • WinRpcsrv.exe
      • syshelp.exe
      • winrpc.exe
      • WinGate.exe
      • rpcsrv.exe

        HINWEIS: %System% ist eine Variable. Der Wurm findet den Ordner "System" und kopiert sich dorthin. Standardmäßig ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).

    2. Wenn der infizierte Computer unter Windows 95, 98 oder ME läuft, fügt er folgendes:

      run=rpcsrv.exe

      in den [windows]-Abschnitt der Win.ini- Datei ein.
    3. Er kopiert die folgenden Dateien in den %System%-Ordner und führt sie aus:
      • ily.dll
      • task.dll
      • reg.dll
      • 1.dll

        HINWEIS: Diese Dateien stellen die Hintertür-Trojaner-Komponenten von W32.HLLW.Lovgate.C@mm dar. Symantec Antivirus-Produkte erkennen diese als Backdoor.Trojan.

    4. Er fügt die Werte:

      syshelp                    %system%\syshelp.exe
      WinGate initialize         %system%\WinGate.exe -remoteshell
      Module Call initialize     RUNDLL32.EXE reg.dll ondll_reg

      dem folgenden Registrierungsschlüssel hinzu:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    5. Er verändert den Vorgabewert des folgenden Registrierungsschlüssels:

      HKEY_CLASS_ROOT\txtfile\shell\open\command

      zu:

      winrpc.exe %1
    6. Er kopiert sich selbst unter einem der folgenden Dateinamen auf alle im Netzwerk freigegebenen Ordner und Unterordner:
      • pics.exe
      • images.exe
      • joke.exe
      • pspgame.exe
      • news_doc.exe
      • hamster.exe
      • tamagotxi.exe
      • searchurl.exe
      • setup.exe
      • card.exe
      • billgt.exe
      • midsong.exe
      • s3msong.exe
      • docs.exe
      • humor.exe
      • fun.exe
    7. Er überwacht den TCP-Anschluss 10168 und benachrichtigt den Hacker per E-Mail. Der Wurm verfügt über eine Kennwort-Authentifizierungsroutine. Nach Eingabe des richtigen Kennwortes startet der Wurm eine Befehls-Shell für den Hacker.
    8. Er durchsucht die folgenden Ordner:
      • .\ (Dies ist der Ordner, in dem der Wurm ausgeführt wurde.)
      • winpath\
      • Den im folgenden Registrierungswert aufgeführten Ordner:

        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
        Explorer\Shell Folders\Personal

    9. Wenn der Wurm in den genannten Ordnern Dateien findet, deren Erweiterung mit "ht" beginnt, versucht er, alle E-Mail-Adressen aus den Dateien herauszuziehen, eine E-Mail mit einer durch W32.HLLW.Lovgate.C@mm infizierten Anlage zu erstellen und die infizierte E-Mail dann an die Adressen aus den .ht*-Dateien zu senden.
    10. Er versucht, alle eingehende Nachrichten zu beantworten, sobald diese in der Mailbox bestimmter MAPI-kompatibler E-Mail-Clients (zu denen Microsoft Outlook gehört) eintreffen. Aufgrund eines Programmierfehlers wird die E-Mail nicht immer erfolgreich übermittelt.
      Wenn die Original-Mail folgendermaßen lautet:
      Betreff: <Betreff>
      Von: <Benutzername>@<Host-Name>
      Nachricht: <ursprünglicher Nachrichtentext>

      so versucht der Wurm, die folgende E-Mail abzuschicken:

      Betreff: Re: <Betreff>
      An: SMTP:<irgendwer>@<irgendwo.com>
      Nachricht:
      '<irgendwer>' wrote:
      ===
      > <ursprünglicher Nachrichtentext>
      >
      ===

      <irgendwo.com> account auto-reply:

       ' I'll try to reply as soon as possible.
       Take a look to the attachment and send me your opinion! '


           > Get your FREE <irgendwo.com> account now! <

      Die der E-Mail angehängte Anlage weist einen Dateinamen aus der selben Liste auf, die vom Wurm auch für seine Netzwerkverbreitungsroutine verwendet wird. Beispielsweise kann es sich dabei um einen der Folgenden handeln:
      • Pics.exe
      • Images.exe
      • Joke.exe
      • Pspgame.exe

        Die vollständige Liste sehen Sie unter Schritt 6 dieses Abschnitts.

    Zusätzliche Aktivitäten unter NT/2000/XP
    Wenn der infizierte Computer unter Windows NT, 2000 oder XP läuft, führt der Wurm Folgendes durch:
    1. Er kopiert sich selbst als %System%\ssrv.exe.

      HINWEIS: %System% ist eine Variable. Der Wurm findet den Ordner "System" und kopiert sich dorthin. Standardmäßig ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).
    2. Er erstellt den folgenden Registrierungsschlüssel:

      HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install
    3. Er fügt den Wert

      run              rpcsrv.exe

      dem folgenden Registrierungsschlüssel hinzu:

      HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
    4. Er erstellt den folgenden Registrierungsschlüssel:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg
    5. Er fügt folgenden Wert hinzu:

      dll.reg rundll32.exe taskdll ondll_reg server
    6. Wenn der Wurm den Prozess "LSASS.EXE" findet, versucht er, in diesem Prozess einen entfernten Thread einzurichten und einen Hook zu 1.dll einzufügen.
    7. Fügt einen weiteren Thread in Lsass.exe ein, der einen empfangsbereiten Server am TCP-Port 20,168 einrichtet. Dieser Server gibt jedermann Fernzugriff ohne Authentifizierung.
    8. Er startet die Hintertür-Trojaner-Komponente als Dienst "Windows Management Extension", die den TCP-Anschluss 1192 überwacht.
    9. Er überprüft alle Computer im lokalen Netzwerk und versucht, sich mit folgenden Passwörtern als "Administrator" anzumelden:
      • <empty.password>
      • 123
      • 321
      • 123456
      • 654321
      • guest
      • administrator
      • admin
      • 111111
      • 666666
      • 888888
      • abc
      • abcdef
      • abcdefg
      • 12345678
      • abc123

        HINWEIS: <empty.password> ist eine Variable, die ein leeres Passwort ist.

    10. Gelingt es dem Wurm, sich bei einem entfernten Computer anzumelden, versucht er, sich dorthin zu kopieren als:

      \\<Name.des.entfernten.Computers>\admin$\system32\stg.exe

      Er versucht sodann, die Datei auf dem entfernten Computer als Dienst "Microsoft NetWork Services FireWall" zu starten.

      HINWEIS: <Name.des.entfernten.Computers> ist eine Variable und bezieht sich auf den Namen des entfernten Computers.

    Details zur E-Mail-Routine

    Zur Vervielfältigung verwendet der Wurm seine eigene SMTP Engine und erstelt damit E-Mails, fügt infizierte Anlagen zur Mail hinzu und versendet zuletzt infizierte E-Mails in Massen. Die E-Mail-Nachricht kann folgendermaßen lauten:

    Betreff: Documents
    Anlage: Docs.exe
    Nachricht: Send me your comments...

    oder:

    Betreff: Roms
    Anlage: Roms.exe
    Nachricht: Test this ROM! IT ROCKS!.

    oder:

    Betreff: Pr0n!
    Anlage: Sex.exe
    Nachricht: Adult content!!! Use with parental advisory.

    oder:

    Betreff: Evaluation copy
    Anlage: Setup.exe
    Nachricht: Test it 30 days for free.

    oder:

    Betreff: Help
    Anlage: Source.exe
    Nachricht: I'm going crazy... please try to find the bug!

    oder:

    Betreff: Beta
    Anlage: _SetupB.exe
    Nachricht: Send reply if you want to be official beta tester.

    oder:

    Betreff: Do not release
    Anlage: Pack.exe
    Nachricht: This is the pack ;)

    oder:

    Betreff: Last Update
    Anlage: LUPdate.exe
    Nachricht: This is the last cumulative update.

    oder:

    Betreff: The patch
    Anlage: Patch.exe
    Nachricht: I think all will work fine.

    oder:

    Betreff: Cracks!
    Anlage: CrkList.exe
    Nachricht: Check our list and mail your requests!


    Symantec ManHunt
    Um diese Bedrohung speziell als W32.HLLW.Lovgate.C@mm zu erkennen, empfiehlt Symantec den Benutzern von Symantec ManHunt, die Funktion HYBRID MODE zu aktivieren und folgende benutzerdefinierte Regeln anzuwenden:

    *******************start file********************

    alert tcp any 10168 -> any any (msg:"W32.HLLW.Lovgate.C@mm backdoor login attempt"; content:"Sorry, Your PassWord Not Right.";)

    *************EOF*********************

    löst bei erfolglosen Anmeldeversuchen des Hackers aus und

    *******************start file********************

    alert tcp any 10168 -> any any (msg:"W32.HLLW.Lovgate.C@mm backdoor login success"; content:"OK! Please Enter:";)

    *************EOF*********************

    löst bei erfolgreichen Anmeldeversuchen des Hackers aus. Weitere Informationen zum Erstellen von benutzerdefinierten Signaturen finden Sie im "Symantec ManHunt Administrative Guide" im Abschnitt "Appendix A Custom Signatures for HYBRID Mode".

    Empfehlungen

    Symantec Security Response empfiehlt allen Anwendern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:

    • Beenden und entfernen Sie all nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht kritisch sind, wie FTP-Clients, Telnet und einen Internetbrowser. Diese Dienste öffnen Angriffen Tür und Tor. Wenn Sie entfernt werden, bestehen weniger Angriffsflächen und Sie haben weniger Programme zu pflegen.
    • Wenn eine komplexe Bedrohung über mehr als ein Netzwerkdienst verteilt wird, werden diese deaktiviert oder blockiert, bis ein Patch ausgeführt wurde.
    • Halten Sie Ihre Patches immer auf dem neuesten Stand, besonders auf den Computern, auf denen öffentliche Dienste angeboten werden und auf die durch eine Firewall über z. B. http, FTP, E-Mail und DNS-Dienste zugegriffen werden kann.
    • Richten Sie einen Passwortschutz ein. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf beschädigten Computern. Dies hilft Ihnen, die Folgen eines Computereinbruchs zu mindern.
    • Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails, die Dateianhänge enthalten, über die häufig Viren verbreitet werden, wie Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr, blockiert oder entfernt werden.
    • Isolieren Sie infizierte Computer schnell, um weiteren Schaden zu vermeiden. Führen Sie eine forensische Analyse durch und reparieren Sie den Computer mit Hilfe vertraulicher Medien.
    • Schulen Sie Ihre Angestellten daraufhin, keine Anhänge zu öffnen, wenn diese unaufgefordert eingesendet werden. Führen Sie ebenfalls keine Software aus, die aus dem Internet geladen wurde, wenn die Dateien zuvor nicht auf Viren geprüft wurden. Schon der einfache Besuch einer beschädigten Internetseite kann eine Infektion hervorrufen, wenn bestimmte Browserschäden nicht repariert werden.
    Entfernungsanweisungen


    Entfernung mit dem W32.HLLW.Lovgate-Entfernungsprogramm
    Dies ist die einfachste Möglichkeit, diese Bedrohung zu beseitigen. Symantec Security Response hat ein Entfernungsprogramm für W32.HLLW.Lovgate erstellt. Klicken Sie hier, um das Programm zu beziehen.

    Manuelle Entfernung
    Anstatt mit dem Entfernungsprogramm können Sie diese Gefahr auch manuell entfernen.

    Diese Anweisungen gelten für alle aktuellen und kürzlich erschienenen Symantec Antivirus-Produkte, einschließlich der Produktlinien Symantec AntiVirus und Norton AntiVirus.
    1. Machen Sie die Änderungen rückgängig, die der Wurm an der Registrierung vorgenommen hat.
    2. Entfernen Sie den Text, der der Win.ini-Datei hinzugefügt wurde (nur Windows 95, 98 und Me)
    3. Starten Sie den Computer neu.
    4. Aktualisieren Sie Ihre Virusdefinitionen.
    5. Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als mit W32.HLLW.Lovgate.C@mm oder Backdoor.Trojan infiziert erkannt werden.

    Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.

    1. Machen Sie die Änderungen an der Windows-Registrierung rückgängig

    ACHTUNG: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu permanentem Datenverlust oder beschädigten Dateien führen. Bearbeiten Sie nur die angegebenen Schlüssel. Bitte beachten Sie das Dokument Eine Sicherheitskopie der Windows-Registrierung erstellen, bevor Sie fortfahren.
    1. Klicken Sie auf "Start" und dann auf "Ausführen". Das Dialogfeld "Ausführen" wird geöffnet.
    2. Geben Sie regedit ein.

      Klicken Sie nun auf "OK". Der Registrierungseditor wird geöffnet.
    3. Suchen Sie den Schlüssel

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    4. Löschen Sie diese Werte im rechten Teilfenster:

      syshelp
      WinGate initialize
      Module Call initialize
    5. Suchen Sie den Schlüssel

      HKEY_CLASS_ROOT\txtfile\shell\open\command
    6. Ändern Sie den Wert (Default) im rechten Teilfenster zu Folgendem:

      notepad.exe %1
    7. Suchen Sie den Schlüssel

      HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
    8. Löschen Sie diesen Wert im rechten Teilfenster: run
    9. Löschen Sie diesen Schlüssel:

      HKEY_LOCAL_MACHINE\Software\KittyXP.sql
    10. Schließen Sie den Registrierungseditor.


    2. Entfernen Sie den Text aus der Win.ini-Datei von Windows 95, 98 und Me
    Wenn Sie Windows 95/98/Me verwenden, führen Sie folgende Schritte aus:
    1. Welche Schritte durchzuführen sind, hängt von Ihrem Betriebssystem ab:
      • Windows 95/98: Fahren Sie bei Schritt b fort.
      • Windows Me: Unter Windows Me wurde von den Dateischutzmechanismen in Windows Me möglicherweise eine Sicherungskopie der Win.ini-Datei angelegt, die Sie gerade bearbeiten möchten. Falls diese Sicherungskopie existiert, befindet sie sich im Ordner C:\Windows\Recent. Symantec empfiehlt, diese Datei zu löschen, bevor Sie mit den Schritten in diesem Abschnitt fortfahren. Gehen Sie so vor:
        • Starten Sie Windows Explorer.
        • Begeben Sie sich zum Ordner C:\Windows\Recent, und wählen Sie ihn aus.
        • Wählen Sie im rechten Fenster die Win.ini-Datei aus und löschen Sie sie. Die Datei Win.ini wird wieder angelegt, sobald Sie Ihre Änderungen unter Schritt f speichern.
    2. Klicken Sie auf "Start" und dann auf "Ausführen".
    3. Geben Sie Folgendes ein und klicken Sie dann auf "OK":

      edit c:\windows\win.ini

      Der MS-DOS-Editor wird geöffnet.

      HINWEIS: Wenn Windows in einem anderen Bereich installiert wurde, ändern Sie den Pfad dementsprechend.
    4. Sehen Sie nach, ob im Abschnitt [windows] der Datei ein Eintrag ähnlich dem Folgenden vorhanden ist:

      run=rpcsrv.exe
    5. Ist diese Zeile vorhanden, wählen Sie den Text aus. Vergewissern Sie sich, dass keine anderen Textteile markiert sind, und drücken Sie die Taste "Entf".
    6. Klicken Sie auf "Datei" und anschließend auf "Speichern".
    7. Klicken Sie auf "Datei" und anschließend auf "Beenden".

    3. Starten Sie den Computer neu
    Starten Sie den Computer wie gewohnt neu.

    4. Aktualisieren Sie die Virusdefinitionen
    Alle Virusdefinitionen werden von Symantec Security Response umfassenden Qualitätsprüfungen unterzogen, bevor sie auf unseren Servern zur Verfügung gestellt werden. Sie können die aktuellsten Virusdefinitionen auf zwei Arten erhalten:
    • Die Ausführung von LiveUpdate ist die einfachste Methode, um Virusdefinitionen zu erhalten. Diese Virusdefinitionen werden einmal wöchentlich auf den LiveUpdate-Servern abgelegt (üblicherweise mittwochs), soweit kein größerer Virusausbruch vorliegt. Um festzustellen, ob über LiveUpdate Definitionen für diese Bedrohung zur Verfügung stehen, öffnen Sie im oberen Bereich dieser Virusbeschreibung im Abschnitt "Schutz" den Link Virusdefinitionen (LiveUpdate).
    • Laden Sie die Virusdefinitionen mit dem Intelligent Updater herunter. Virusdefinitionen des Intelligent Updaters werden an Geschäftstagen (Montag bis Freitag) veröffentlicht. Sie müssen von der Symantec Security Response-Website heruntergeladen und manuell installiert werden. Um festzustellen, ob über den Intelligent Updater Definitionen für diese Bedrohung zur Verfügung stehen, öffnen Sie im oberen Bereich dieser Virusbeschreibung im Abschnitt "Schutz" den Link Virusdefinitionen (Intelligent Updater).

      Sie erhalten die Intelligent Updater-Virusdefinitionen hier. Für ausführliche Anweisungen bezüglich des Herunterladens und Installierens von Intelligent Updater-Virusdefinitionen von der Symantec Security Response-Website klicken Sie bitte hier.
    5. So prüfen Sie den Computer und löschen die infizierten Dateien
    1. Starten Sie Ihr Symantec AntiVirus-Programm und stellen Sie sicher, dass es zur Überprüfung aller Dateien eingerichtet ist.
    2. Führen Sie eine vollständige Systemprüfung durch.
    3. Wenn Dateien als mit W32.HLLW.Lovgate.C@mm oder Backdoor.Trojan infiziert gemeldet werden, klicken Sie auf "Löschen".


    Zusätzliche Informationen:

    Englische Version dieses Dokuments

    Klicken Sie hier, um die englische Version dieses Dokuments anzuzeigen.

    Hinweis: Bitte beachten Sie, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch die deutsche Version inhaltlich abweichen kann.


    Zuletzt aktualisiert von: Tony Conneff & Neal Hindocha