「W32/Lovgate」ウイルスに関する情報
最終更新日:2003年 3月25日
更新履歴
2003年 3月25日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)
このウイルスは、メールの添付ファイルおよびネットワーク共有を介して感染を拡げます。
下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除してください。また、Administrator(管理者権限)のパスワード設定および共有設定を見直す等の対策も必要です。
このウイルスは2月19日に出現しています。それ以降、本文や添付ファイル名を変更したり、機能を追加した亜種が出現しておりますので、ワクチンソフトの定義ファイルを更新していないと新たな亜種を発見できないことがあります。各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。
概要
このウイルスに感染するとシステムフォルダに下記のファイルを作成します。
WinRpcsrv.exe、syshelp.exe、winrpc.exe、WinGate.exe、rpcsrv.exe、ily.dll、Task.dll、reg.dll、1.dll
また、レジストリや win.iniファイルを改変することにより、パソコン起動時にウイルスが実行されるようにします。そして、以下の手段(◆)で感染を拡大する活動を行います。
◆ 拡張子に「ht」を含むファイルからメールアドレスを収集して、取得できたすべてのアドレス宛に、以下のパターンから選択してメールを送信します。
- 件名 : Cracks!
- 本文 : Check our list and mail your requests!
- 添付ファイル名 : CrkList.exe
- 件名 : The patch
- 本文 : I think all will work fine.
- 添付ファイル名 : Patch.exe
- 件名 : Last Update
- 本文 : This is the last cumulative update.
- 添付ファイル名 : LUPdate.exe
- 件名 : Do not release
- 本文 : This is the pack ;)
- 添付ファイル名 : Pack.exe
- 件名 : Beta
- 本文 : Send reply if you want to be official beta tester.
- 添付ファイル名 : _SetupB.exe
- 件名 : Help
- 本文 : I'm going crazy... please try to find the bug!
- 添付ファイル名 : Source.exe
- 件名 : Evaluation copy
- 本文 : Test it 30 days for free.
- 添付ファイル名 : Setup.exe
- 件名 : Pr0n!
- 本文 : Adult content!!! Use with parental advisory.
- 添付ファイル名 : Sex.exe
- 件名 : Roms
- 本文 : Test this ROM! IT ROCKS!.
- 添付ファイル名 : Roms.exe
- 件名 : Documents
- 本文 : Send me your comments...
- 添付ファイル名 : Docs.exe
差出人アドレスは、hello_dll@163.com となります。
◆ あらかじめ用意したパスワード辞書を用いて、ネットワーク上にある不特定のパソコンにAdministrator(管理者権限)でログインを試みます。ログインに成功すると、ウイルス自身をstg.exe というファイル名でコピーします。
【パスワード】
abc123、12345678、abcdefg、abcdef、abc、888888、666666、111111、admin、administrator、guest、654321、123456、321、123、パスワードなし
◆ ネットワークで共有されているフォルダを検索し、共有されているフォルダすべてにウイルスファイルをコピーします。ファイル名は、下記よりランダムに選択されます。
【ファイル名】
fun.exe、humor.exe、docs.exe、s3msong.exe、midsong.exe、billgt.exe、Card.EXE、SETUP.EXE、searchURL.exe、tamagotxi.exe、hamster.exe、news_doc.exe、PsPGame.exe、joke.exe、images.exe、pics.exe
また、以下の活動も行います。
- i) バックドアを仕掛け、外部から感染したパソコンの操作が可能になります。
- ii) あらかじめ決められたメールアドレスへメールを送信します。
- iii) 拡張子による関連付けが変更され、テキストファイルを開くとウイルスが起動するようになります。
対応方法
メールごと添付ファイルを削除してください。
最新の検索エンジン・パターンファイルにアップデートして検査を行ってください。
一個のプログラムのため「駆除」できません。検知した場合は、ファイルを「削除」 してください。
修復方法
感染してしまった場合の修復方法は、レジストリの修正が必要となります。手動による修復方法は、下記ワクチンソフトウェアベンダーのサイト にも掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。
手動による方法:
システムフォルダにある WinRpcsrv.exe、syshelp.exe、winrpc.exe、WinGate.exe、rpcsrv.exe、ily.dll、Task.dll、reg.dll、1.dll を削除して下さい。
またレジストリの
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
以下の syshelp、WinGate initialize、Module Call initialize を削除してください。
Windows フォルダの win.ini の WINDOWS セクションの run にrpcsrv.exeへのパスが設定されているときには、それを削除してください。テキストファイルの拡張子の関連付けは再度設定しなおしてください。
修復ツールによる方法:
また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。各ベンダーが記述している 「使用上の注意」をよく読み、自己の責任において使用してください。
修復ツール提供サイト
- シマンテック:
http://www.symantec.com/region/jp/sarcj/data/w/
w32.hllw.lovgate.removal.tool.html - トレンドマイクロ:
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700 - 日本エフセキュア:
http://www.f-secure.co.jp/v-descs/v-descs3/Lovgate.htm - 日本ネットワークアソシエイツ:
http://www.nai.com/japan/virusinfo/stinger.asp
参考情報
ワクチンソフトウェアベンダー提供の情報(日本語)
- アンラボ:
http://japan.ahnlab.com/virusinfo/view.asp?seq=612 - コンピュータアソシエイツ:
http://www.caj.co.jp/virusinfo/2003/win32_lovgate_c.htm - シマンテック:
http://www.symantec.com/region/jp/sarcj/data/w/
w32.hllw.lovgate@mm.html - ソフォス:
http://www.sophos.co.jp/virusinfo/analyses/w32lovgatea.html - トレンドマイクロ:
http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=WORM_LOVGATE.C - 日本エフセキュア:
http://www.f-secure.co.jp/v-descs/v-descs3/Lovgate.htm - 日本ネットワークアソシエイツ:
http://www.nai.com/japan/virusinfo/virL.asp?v=W32/Lovgate.a@M
ウイルス対策のトップページはこちらをご覧ください。
更新履歴
| 2003年 3月25日 | 掲載 |
|---|