|
|||||||
|
|
|
 |
|
|
Strumenti |
24-02-2003, 17:29
|
#1 |
|
Senior Member
Iscritto dal: Aug 2002
Messaggi: 359
|
W32.HLLW.Lovgate.C@mm: un worm anche per le LAN
W32.HLLW.Lovgate.C@mm
Livello 3 di attenzione (Sarc) E’ un worm che installa una backdoor aprendo la porta 10168 TCP sul computer infetto, ha un suo motore SMTP per potersi allegare e spedirsi a tutti i contatti presenti nella rubrica. Se infetta una macchina in una LAN, genera copie di files infetti negli indici e nelle subdirectories comuni della rete, rendendo la macchina accessibile da remoto. Come scritto si propaga via mail o la condivisione di files in una LAN, le maggiori infezioni fino ad ora, si sono avute in TAIWAN, AUSTRALIA, FRANCIA e soprattutto in GIAPPONE. Arriva via mail con il seguente OGGETTO, ALLEGATO, TESTO: Oggetto: Documents Allegato: Docs.exe Testo: Send me your comments... Oggetto: Roms Allegato: Roms.exe Testo: Test this ROM! IT ROCKS!. Oggetto: Pr0n! Allegato: Sex.exe Testo: Adult content!!! Use with parental advisory. Oggetto: Evaluation copy Allegato: Setup.exe Testo: Test it 30 days for free. Oggetto: Help Allegato: Source.exe Testo: I'm going crazy... please try to find the bug! Oggetto: Beta Allegato: _SetupB.exe Testo: Send reply if you want to be official beta tester. Oggetto: Do not release Allegato: Pack.exe Testo: This is the pack  Oggetto: Last Update Allegato: LUPdate.exe Testo: This is the last cumulative update. Oggetto: The patch Allegato: Patch.exe Testo: I think all will work fine. Oggetto: Cracks! Allegato: CrkList.exe Testo: Check our list and mail your requests! Una volta che la macchina è infetta copia in System (C:\Windows\System su Windows 9x e ME, C:\WINNT\System32 su Windows NT e 2000, oppure C:\Windows\System32 su Windows XP.) i seguenti files: WinRpcsrv.exe syshelp.exe winrpc.exe WinGate.exe rpcsrv.exe Sui S.O. Win 95. 98 e Me aggiunge la stringa Run=rpcsvr.exe in [Windows] di WIN.INI Nei S.O. NT 4.0, 2000, e XP copia i files: Ily.dll reg.dll task.dll 1.dll In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run copia le seguenti strigne: syshelp %system%\syshelp.exe WinGate initialize %system%\WinGate.exe -remoteshell Module Call initialize RUNDLL32.EXE reg.dll ondll_reg Modifica il valore Predefinito di HKEY_CLASS_ROOT\txtfile\shell\open\command aggiungedo winrpc.exe %1 In una LAN copia I seguenti files fun.exe humor.exe docs.exe s3msong.exe midsong.exe billgt.exe Card.EXE SETUP.EXE searchURL.exe tamagotxi.exe hamster.exe news_doc.exe PsPGame.exe joke.exe images.exe pics.exe Per ulteriori Info: http://securityresponse.symantec.com/avcenter/venc/data/[email protected] http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_LOVGATE.C Marco(amvinfe) |
|
|
|
24-02-2003, 20:28
|
#2 |
|
Member
Iscritto dal: Jan 2003
Messaggi: 179
|
cos'è rpcsrv.exe o rpcss.exe?è qalcs ke riguarda il controllo remoto?
Ciao. |
|
|
|
|
25-02-2003, 19:14
|
#3 |
|
Senior Member
Iscritto dal: Aug 2002
Messaggi: 359
|
Rilasciato il fix_tool
http://securityresponse.symantec.com/avcenter/FixLGate.exe |
|
|
|
|
25-02-2003, 19:18
|
#4 | |
|
Senior Member
Iscritto dal: Aug 2002
Messaggi: 359
|
Quote:
|
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 21:57.
