VIRUS Lovgate.C

Nombre técnico: W32/Lovgate.C

VIRUS Lovgate.CPeligrosidad: Baja

Tipo: Gusano

Efectos: Abre un puerto de comunicaciones TCP. Normalmente, el 10168.

Plataformas que infecta: Windows XP/2000 Pro/NT/Me/98/95

Fecha de aparición: 24/02/2003

¿Está en circulación? No

País origen: DESCONOCIDO

Descripción Breve

Lovgate.C es un gusano que se propaga a través de redes locales y también a través del correo electrónico.

Lovgate.C está también preparado para actuar como un troyano de tipo backdoor. Por ello, abre un puerto TCP de comunicaciones, normalmente el 10168, convirtiendo así el ordenador afectado en vulnerable. Además, Lovgate.C envía un mensaje de correo al creador del virus con información confidencial de la máquina afectada: dirección IP, nombre de la máquina y nombre de usuario.

Lovgate.C crea un gran número de copias de sí mismo en las unidades de red compartidas a las que consigue acceder. Además, envía una gran cantidad de mensajes de correo con ficheros infectados a los contactos que encuentra en la Bandeja de entrada de Windows y a las direcciones de correo que encuentra en una serie de directorios.

Síntomas Visibles

Lovgate.C resulta difícil de reconocer a simple vista ya que no muestra mensajes o avisos que alerten sobre su presencia.

Efectos

Lovgate.C produce los siguientes efectos:

Crea copias de sí mismo en todos los directorios y subdirectorios compartidos. Estos ficheros podrán ser ejecutados por usuarios de otros ordenadores conectados por red al ordenador infectado. Al hacerlo, estos otros ordenadores también se infectarán.
Si el ordenador afectado está conectado a una red, trata de ganar acceso a los demás ordenadores conectados a esa red para copiar en ellos un fichero con el código vírico.
Abre un puerto TCP de comunicaciones (normalmente el 10168), con lo que convierte al ordenador afectado en vulnerable ante posibles ataques desde el exterior.
Envía información confidencial del ordenador afectado al creador del virus. Concretamente, envía a la dirección hacker117@163.com la siguiente información: nombre de la máquina, nombre de usuario y dirección IP. Este correo tiene también el siguiente texto: My I-WORM-and-IPC-20168 running!

Método de Infección

Lovgate.C crea los siguientes ficheros:

Un gran número de copias de sí mismo en los directorios y subdirectorios de red compartidos. Estos ficheros tienen nombres aleatorios. Algunos de ellos pueden ser: FUN.EXE, HUMOR.EXE, DOCS.EXE, S3MSONG.EXE, MIDSONG.EXE, BILLGT.EXE, CARD.EXE, SETUP.EXE, SEARCHURL.EXE, TAMAGOTXI.EXE, HAMSTER.EXE, NEWS_DOC.EXE, PSPGAME.EXE, JOKE.EXE, IMAGES.EXE o PICS.EXE .
RPCSRV.EXE, WINRPC.EXE, WINRPCSRV.EXE, SYSHELP.EXE y WINGATE.EXE, en el directorio de sistema de Windows. Estos dos ficheros también son copias del gusano.
ILY.DLL, TASK.DLL, REG.DLL y 1.DLL, en el directorio de sistema de Windows. Al activarse, estos ficheros actuan como troyanos.
Lovgate.C modifica el siguiente fichero:

WIN.INI. Con ello consigue que cada vez que se inicie el sistema se ejecute una copia del virus, concretamente se ejecutará el fichero RPCSRV.EXE.
Lovgate.C crea las siguientes claves en el Registro de Windows para ejecutarse cada vez que se inicia el sistema:

HKLM Software Microsoft Windows CurrentVersion Run=
Module Call initialize RUNDLL32.EXE reg.dll ondll_reg
HKLM Software Microsoft Windows CurrentVersion Run=
syshelp %sysdir% syshelp.exe
HKLM Software Microsoft Windows CurrentVersion Run=
Wingate initialize %sysdir% Wingate.exe -remoteshell
(Donde %sysdir% es el directorio de sistema de Windows)
Lovgate.C modifica la siguiente entrada en el Registro:

HKLM Software Classes txtfile shell open
C: WINDOWSNOTEPAD.EXE %1
Cambia el valor C: WINDOWSNOTEPAD.EXE %1 por winrpc.exe %1
Con ello consigue ejecutarse a sí mismo cada vez que el usuario del equipo afectado activa un fichero con extensión TXT.
El componente troyano de Lovgate.C se pude activar de 3 maneras diferentes:

Como parte del gusano. El propio gusano cuenta con un componente troyano que abre un puerto de comunicaciones.
Como un fichero aparte (los ficheros con extensión DLL que el gusano crea en el directorio de sistema). El gusano crea estos ficheros que, al activarse, actuan como troyanos.
En máquinas NT, el gusano crea el proceso LSASS.EXE, que es el encargado de actuar como troyano.

Método de Propagación

Lovgate.C se propaga a través de unidades de red compartidas y por correo electrónico.

Propagación por unidades de red compartidas:

Lovgate.C sigue el siguiente proceso de propagación:

Crea copias de sí mismo en los directorios y subdirectorios de red compartidos. Intenta acceder a estos directorios incluso cuando el acceso a los mismos está protegido con una contraseña. Para ello, el virus introduce las contraseñas más típicas:
123, 321, 123456, 654321, guest, administrator, admin, 111111, 666666, 888888, abc, abcdef, abcdefg, 12345678 y abc123.
Cuando se consigue validar con éxito en otro ordenador de la red, el virus trata de acceder al directorio de sistema de Windows, donde crea un fichero llamado STG.EXE, que es una copia del virus.
A continuación, Lovgate.C se activa, haciéndose pasar por el programa Microsoft NetWork Services FireWall, con lo que ese otro ordenador de la red resultará también infectado.
Propagación a través del correo electrónico:

Lovgate.C envía un gran número de mensajes de correo electrónico con ficheros infectados. Se envía mediante MAPI, utilizando un servidor propio de correo SMTP.163.COM en lugar de obtener el del usuario infectado.

Lovgate.C envía los siguientes mensajes:

Responde a todos los mensajes que encuentra en la Bandeja de entrada. Lo hace de manera progresiva, es decir, no responde a todos los contactos a la vez. Obtiene los mensajes de esta bandeja, toma nota de la dirección y dominio de cada email y les reenvía un mensaje con las siguientes características:
Asunto: YAHOO.COM Mail auto-reply:
Cuerpo:
I’ll try to reply as soon as possible.
Take a look to the attachment and send me your opinion!
Fichero adjunto: Será uno de los siguientes: BILLGT.EXE, CARD.EXE, DOCS.EXE, FUN.EXE, HAMSTER.EXE, HUMOR.EXE, IMAGES.EXE, JOKE.EXE, MIDSONG.EXE, NEWS_DOC.EXE, PICS.EXE, PSPGAME.EXE, S3MSONG.EXE, SEARCHURL.EXE, SETUP.EXE o TAMAGOTXI.EXE .
Mientras envía estos mensajes, crea el fichero CH0016.TMP en el directorio de ficheros temporales.
Busca ficheros cuya extensión empiece por HT en una serie de directorios. Dentro de los ficheros que encuentra, busca direcciones de correo electrónico. A las direcciones de correo que encuentra les envía mensajes con un fichero infectado. Si quiere comprobar las características de los posibles mensajes de correo que envía a estas direcciones pulse aquí.
Lovgate.C busca estos ficheros en los siguientes directorios: el directorio donde ha sido ejecutado el gusano, en el directorio de Windows y en la ista de directorios localizados en el siguiente valor del Registro:
HKEY_CURRENT_USER SoftwareMicrosoft Windows CurrentVersion Explorer Shell Folders Personal

Otros Detalles

Lovgate.C está escrito en lenguaje de programación visual C++. El fichero que genera la infección tiene un tamaño de 78848 Bytes y está comprimido con Aspack.

¿Cómo saber si tengo Lovgate.C?

Antes de nada, compruebe si ha recibido un mensaje acorde a alguna de las características descritas en el apartado Método de propagación.

Para verificar con exactitud si Lovgate.C ha infectado su ordenador, dispone de las siguientes opciones:

Realizar un análisis completo del ordenador con su Panda Antivirus, después de verificar que está actualizado. Si no lo está y usted es cliente registrado de Panda Software, actualícelo pulsando aquí.
Chequear el ordenador con Panda ActiveScan, la herramienta gratuita de análisis online de Panda Software, que detectará rápidamente todos los posibles virus.

¿Cómo eliminar a Lovgate.C?

Ante todo, si ha recibido un mensaje con algunas de las características descritas en el apartado Método de propagación, no ejecute el fichero adjunto y borre el mensaje, incluso de la carpeta de Elementos Eliminados.

Después, si durante el proceso de análisis Panda antivirus o Panda ActiveScan detecta a Lovgate.C, éste le dará automáticamente la opción de eliminarlo: hágalo, siguiendo las instrucciones del programa.

Además, como precaución adicional, ejecute nuestra utilidad gratuita Panda QuickRemover, que reparará automáticamente todos los posibles desperfectos que Lovgate.C haya causado en su ordenador. Para ello, siga estas instrucciones:

Descargue gratis la utilidad Panda QuickRemover pulsando sobre el siguiente icono.

Guarde el fichero en el directorio que prefiera de su ordenador.
Ejecute Panda QuickRemover, haciendo doble clic sobre el fichero y siga las indicaciones.
Cuando Lovgate.C sea detectado, elimínelo.
Notas adicionales:

Si cuenta con Netscape Navigator y tiene algún problema para descargar Panda QuickRemover, proceda del siguiente modo: 1º Pulse sobre el icono con el botón derecho del ratón. 2º seleccione la opción Guardar enlace como… 3º Indique el directorio en el que desea guardarlo.
Si su ordenador tiene Windows Millenium o Windows XP, pulse aquí para obtener más información sobre cómo eliminar el virus definitivamente.

¿Cómo protegerse de Lovgate.C?

Para mantenerse protegido, tenga en cuenta los siguientes consejos:

Si dispone de herramientas de filtrado, configúrelas que para rechacen los mensajes que cumplan las características mencionadas en el apartado Método de propagación. Si a pesar de esto, recibe un mensaje con el virus, no ejecute el fichero adjunto y bórrelo incluso de la carpeta de Elementos Eliminados.
Instale un buen antivirus en su ordenador. Pulse aquí para conseguir el antivirus de Panda más adaptado a sus necesidades.
Mantenga su antivirus actualizado. Si su antivirus admite las actualizaciones automáticas, configúrelas para que funcionen siempre así.
Tenga activada la protección permanente de su antivirus en todo momento.
Si quiere conocer con detalle todos los consejos necesarios para mantenerse a salvo de los virus, pulse aquí.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática