W32/Lovgate (alias Supnot)

Der Wurm schnüffelt auf infizierten Systemen Passwörter aus und versucht diese an zwei Adressen bei "163.com" (ein chinesisches Portal) zu übermitteln. Zudem bietet er seine Dienste auf den Ports 10168 und 1192 an, was es einem Eindringling von aussen erlauben könnte, verschiedene Befehle auf dem PC auszuführen.

Die Mails, mit denen er sich verbreitet, haben folgende Kennzeichen:

Betreffzeilen, derer er sich bedient:

Documents

Roms

Pr0n!

Evaluation copy

Help

Beta

Do not release

Last Update

The patch

Cracks!

Mögliche Dateinamen für die infektiösen Beilagen sind:

Docs.exe

Roms.exe

Sex.exe

Setup.exe

Source.exe

_SetupB.exe

Pack.exe

LUPdate.exe

Patch.exe

CrkList.exe

Die Mail-Texte die er verwendet:

Send me your comments...

Test this ROM! IT ROCKS!.

Adult content!!! Use with parental advisory.

Test it 30 days for free.

I'm going crazy... please try to find the bug!.

Send reply if you want to be official beta tester.

This is the pack ;)

This is the last cumulative update.

I think all will work fine.

Check our list and mail your requests!

Oder wenn er automatische Antworten an eingehende Mails verschickt, lautet der Text:

"I'll try to reply as soon as possible.

Take a look to the attachment and send me your opinion!"

Wird der Wurm ausgeführt, speichert er Kopien von sich in freigegebene Ordner, die er im allenfalls vorhandenen Netzwerk findet. Die Dateinamen könnten so lauten:

fun.exe

humor.exe

docs.exe

s3msong.exe

midsong.exe

billgt.exe

Card.EXE

SETUP.EXE

searchURL.exe

tamagotxi.exe

hamster.exe

news_doc.exe

PsPGame.exe

joke.exe

images.exe

pics.exe

Sind die Ordner passwortgeschützt, versucht er sich bei den PCs mit den Benutzernamen "guest" und "Administrator" und den folgenden Passwörtern anzumelden:

(Leeres Passwort)

guest

123

321

123456

654321

administrator

admin

111111

666666

888888

abc

abcdef

abcdefg

12345678

abc123

Wenn ihm dies gelingt, kopiert sich der Schädling via Netzwerk mit dem Namen stg.exe in den Windows-Unterordner "System32" und versucht die Datei auszuführen. Der Prozess wird als Systemdienst namens "Microsoft NetWork Services FireWall" ausgewiesen.

Der Wurm startet den Spionier-Prozess mit dem Namen "Windows Management Extension" und speichert die ausspionierten Passwörter in diese zwei Dateien:

win32pwd.sys

win32add.sys

Einige Varianten von Lovegate speichern sich mit den folgenden Dateinamen in den Windows System-Ordner, also in "C:\Windows\System\" (Win95/98/ME), bzw. in "C:\Winnt\System32" (WinNT/2000) oder in "C:\Windows\System32" (WinXP):

WinGate.exe

WinRpcsrv.exe

syshelp.exe

winprc.exe

rpcsrv.exe

Um sicher zu stellen, dass Windows ihn beim PC-Start automatisch ausführt, erzeugt er Einträge in verschiedenen Konfigurationsdateien:

In der Windows-Registry schreibt er in diesen Zweig:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

die folgenden Einträge:

"WinGate initialize" = "(Windows-System-Ordner)\WinGate.exe -remoteshell"

"syshelp" = "(Windows-System-Ordner)\syshelp.exe"

"Module Call initialize" = "rundll32.exe reg.dll ondll_reg"

Zudem fügt er diesen Registry-Schlüssel ein, der bewirkt, dass sich der Wurm automatisch startet, wenn der Benutzer des infizierten PCs eine Textdatei doppelklickt:

HKEY_CLASSES_ROOT\txtfile\shell\open\command

@ = (Windows-System-Ordner)\winprc.exe "%1"

Handelt es sich beim infizierten PC um ein System mit Windows NT/2000 oder XP, legt sich der Lovegate-Wurm unter dem Namen SSRV.EXE im System-Ordner ab. Er kreiert auf diesen Systemen diesen Registry-Eintrag:

HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install

Und fügt diesem Registry-Zweig

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

Diesen Wert hinzu: run = rpcsrv.exe

Unter Windows 95/98/ME fügt er in der Systemdatei WIN.INI einen Eintrag im Bereich "[Windows]" ein:

[Windows]

Run=rpcsrv.exe

Einige Varianten des Lovegate-Wurms kreieren im Windows System-Ordner DLL-Dateien mit folgenden Namen. Diese sind fürs Ausschnüffeln der Passwörter zuständig:

ily.dll

task.dll

reg.dll

1.dll

Ein Wurm-Prozess überwacht den Mail-Eingang und beantwortet eintreffende E-Mails mit dem oben erwähnten Text; natürlich mit einer Wurm-Kopie in der Beilage. Ein zweiter Prozess durchsucht Dateien mit den Endungen .htm, .hta und .html nach E-Mail-Adressen und schickt sich mit den eingangs erwähnten Eigenschaften an die gefundenen Adressen weiter.

Um den Wurm zu entfernen, beseitigen Sie (mit der gebotenen Vorsicht) sämtliche Registry-Einträge, die der Wurm angelegt hat und scannen Sie Ihre Festplatten mit einem frisch aktualisierten Virenscanner. Lassen Sie alle Dateien löschen, die der Virenscanner als Lovegate-Wurm oder Lovegate-Backdoor-Komponente erkennt. Falls auf Ihrem PC Laufwerke oder Ordner freigegeben sind, setzen Sie ein etwas besseres Kennwort.

Informationen:

- F-Secure kennt ihn schlicht als Lovegate [1]

- Kaspersky nennt den Wurm I-Worm.Supnot [2]

- Bei McAfee ist er als W32/Lovgate@M bekannt [3]

- Norman nennt ihn W32/Lovgate.B@m [4]

- Panda erkennt ihn als Lovgate.C [5]

- Symantec schreibt über W32.HLLW.Lovgate.C@mm [6]

- Und TrendMicro über WORM_LOVGATE.C [7]

Update 10. März 2003:

Vom Lovegate-Wurm sind verschiedene Varianten aufgetaucht, deren Mailtexte, Betreffzeilen und Dateinamen sich von den ersten Exemplaren unterscheiden. F-Secure hat ein Beseitigungs-Werkzeug bereitgestellt, das allen bisher bekannten Varianten (A bis D) dieses Wurms den Garaus machen soll.

Laden Sie die Datei f-lgate.zip [8] herunter und entzippen Sie sie in einen Ordner Ihrer Wahl. Stellen Sie sicher, dass Sie an Ihrem System als Administrator angemeldet sind oder als Benutzer mit Administrator-Rechten. Doppelklicken Sie die entpackte Datei "F-Lgate.exe". Das Säuberungsprogramm startet, beendet nun die Systemprozesse des Wurms, scannt die Festplatte nach vorhandenen Wurm-Dateien und löscht diese.

Falls Sie Windows XP oder Windows ME haben, könnte es sein, dass die automatische Systemwiederherstellung den Wurm beim nächsten Start wieder einpflanzt. Deaktivieren Sie deshalb diese Optionen schon vorher, bis das System gesäubert ist und mindestens einmal neu gestartet wurde. Führen Sie anschliessend einen kompletten Virenscan Ihres Systems durch.

Update 18. Mai 2003:

Mitte Mai 2003 sind "in the wild" (in freier Wildbahn) neue Varianten des Lovgate-Wurms aufgetaucht. Besonders die Variante Lovgate-I hat sich relativ stark verbreitet.

Diese neueren Varianten entsprechen weitgehend den ursprünglich bekannten Lovgate-Würmern, teilweise mit etwas anderen Mail- und Betreff-Texten. Im Wesentlichen wurde gemäss F-Secure eine Komponente aktiviert, die auch bestehende Dateien infizieren kann.

Abgesehen von bisher verwendeten Dateinamen legt die neue Variante im Windows System-Ordner folgende Dateien ab:

ily668.dll, reg678.dll, Task688.dll und win32vxd.dll.

Und im Windows-Ordner selber folgende Datei, welche offenbar die Fähigkeit hat, andere ausführbare Dateien anzustecken: DRWTSN16.EXE

In der Windows Registry erstellt der Wurm einige Einträge. Zwei davon in diesem Zweig:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Diese Einträge lauten:

WinGate initialize: "(Windows-System-Ordner\WinGate.exe -remoteshell"

Remote Procedure Call Locator: "rundll32.exe reg678.dll ondll_reg"

Dazu kommt ein Eintrag in diesem Zweig:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Dieser lautet:

COM+ Event System: "DRWTSN16.EXE"

Ausserdem verändert Lovgate-I einen bestehenden Registry-Eintrag. Dieser sorgt nach der unliebsamen Manipulation dafür, dass der Wurm jedesmal ausgeführt wird, wenn der Benutzer eine EXE-Datei startet. Dieser Eintrag befindet sich hier und heisst "(Standard)":

HKEY_CLASSES_ROOT\exefile\shell\open\command

Der ursprüngliche (richtige) Wert für den Eintrag "Standard" lautet so: "%1" %*

Der Wurm trägt dort die Datei winexe.exe ein, damit der Eintrag danach so lautet:

(Windows System-Ordner)\winexe.exe "%1" %*

Wie es viele andere Viren und Würmer tun, versucht auch Lovgate-I die Prozesse von Virenscannern zu beenden. Wenn Sie Ihren Virenscanner stets aktuell halten, dann wird der Wurm von diesem erkannt und blockiert, bevor der schädliche Code ausgeführt werden kann. Seien Sie trotzdem vorsichtig mit Mailbeilagen.

Die Antivirus-Hersteller haben weitere Details über diese Wurm-Variante veröffentlicht: F-Secure hat die Informationen der ursprünglichen Beschreibung hinzugefügt und das Beseitigungs-Programm (f-lgate.zip) angepasst, damit es auch die Variante I erkennt. Zum Beispiel bei NAI ist die neue Variante als W32/Lovgate.j@M [9] bekannt, und Symantec nennt sie W32.HLLW.Lovgate.I@mm [10].