참고로 아래 바이러스는 윈도우 2000 사용자에게 감염되는 바이러스 입니다.

전용백신 사용방법은 맨 아래 부분에 있으므로 꼭 읽어보시고 실행해주세요.

출처 : www.ahnlab.com

Win32/LovGate.worm. 107008

다른 이름 WORM_LOVGATE.F W32.HLLW.Lovgate.G@mm W32/Lovgate.f@M

감염시 위험도 3등급(위해)

확산 위험도 1등급 현재 확산도 2등급

종류 웜 감염 형태 실행파일

감염 OS 윈도우 감염 경로 메일/네트워크

최초발견일 2003-03-23 국내발견일 2003-03-23

특정활동일 특정일 활동 없음 제작국 중국

진단 가능 엔진 2003.03.24.00 치료 가능 엔진 2003.03.24.00

※ 표기된 날짜 이후의 엔진으로 진단 및 치료가 가능합니다.

증상 - 메일및 암호가 취약한 관리목적 공유폴더로(또한 읽기/쓰기 가능한 폴더및 네트워크 드라이브 포함) 전파된다.
- 20168 포트가 오픈된다.

내용 Win32/LovGate.worm.107008 는 2003년 3월 23 24일 국내 사용자로부터 다수의 샘플을 접수 받았다. 이 웜은 기존에 알려진 Win32/LovGate.worm.84992 와 Win32/LovGate.worm.78848 의 변형중의 하나이다.

- 전파되는 메일형식

웜은 두가지 형식으로 메일을 발송한다.

- 첫 번째 (SMTP)

* 다음중에서 랜덤하게 선택되어진다.

* 제목:

- Reply to this!
- Let's Laugh
- Help
- Attached one Gift for u..
- Hi Dear
- Hi
- See the attachement
- Last Update
- for you
- Great

* 본문:

- For further assistance please contact!
- Copy of your message including all the headers is attached.
- This message was created automatically by mail delivery software (Exim).
- It's the long-awaited film version of the Broadway hit. Set in the roaring 20's this is the story of Chicago chorus girl Roxie Hart (Zellweger) who shoots her unfaithful lover (West).
- Adult content!!! Use with parental advisory.
- Patrick Ewing will give Knick fans something to cheer about Friday night.
- Send me your comments...
- This is the last cumulative update.
- Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
- Send reply if you want to be official beta tester.

* 첨부파일명:

- About_Me.txt.pif
- driver.exe
- Doom3 Preview!!!.exe
- enjoy.exe
- YOU_are_FAT!.TXT.pif
- Source.exe
- Interesting.exe
- README.TXT.pif
- images.pif
- Pics.ZIP.scr

예)

제 목: Last Update
본 문: This is the last cumulative update.
첨부파일명: Doom3 Preview!!!.exe

- 두 번째 (MAPI)

받은 편지함에 있는 메일의 제목과 본문 일부를 가져와 웜을 첨부하여 발송한다. 다음과 같은 형식으로 보낸다.

제목: Re: 원본 메일 제목
본문:

'원본 메일의 보낸이' wrote:
====
>
> 원본 메일 본문 또는 본문의 일부
>
>
====

'원본 메일의 보낸이의 도메인 네임' account auto-reply:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you
But make allowance for their doubting too;
If you can wait and not be tired by waiting
Or being lied aboutdon't deal in lies
Or being hated don't give way to hating
And yet don't look too good nor talk too wise;
... ... more look to the attachment.


> Get your FREE '원본 메일의 보낸이의 도메인 네임' account now! <

첨부파일명: 다음중에서 선택되어 진다.

- the hardcore game-.pif
- Sex in Office.rm.scr
- Deutsch BloodPatch!.exe
- s3msong.MP3.pif
- Me_nude.AVI.pif
- How to Crack all gamez.exe
- Macromedia Flash.scr
- SETUP.EXE
- Shakira.zip.exe
- dreamweaver MX (crack).exe
- StarWars2 - CloneAttack.rm.scr
- Industry Giant II.exe
- DSL Modem Uncapper.rar.exe
- joke.pif
- Britney spears nude.exe.txt.exe
- I am For u.doc.exe



메일에 첨부된 파일의 크기는 모두 107008 바이트이다. 비주얼 C++ 로 작성되었으며 실행압축 프로그램으로 실행압축된 형태이며 압축을 해제한 경우는 약 380KB 정도이다.

- 네트워크 전파방법

웜은 2가지 전파방법을 이용하는데 첫번째는 방법은 아래와 같은 윈도우 2000 XP의 관리목적 공유폴더로 이용하는 방법과 두번째로는 네트워크 환경에 존재는 읽기/쓰기 가능한 리소스에 웜 자신을 복사한다. 웜은 네트워크 환경의 읽기/쓰기 가능한 모든 리소스에 대하여 웜을 복사하기 때문에 네트워크에 연결된 프린터에도 웜의 바이너리 값이 출력되어 나올 수 있다.

웜은 윈도우 2000 의 관리목적 공유폴더의 사용자 암호관리 취약점을 이용하여도 전파된다. 즉 암호가 없거나 또는 누구나 유추하기 쉬운 암호를 사용하고 있다면 감염대상이 된다. 따라서 윈도우 2000 계열 ( 윈도우 NT 윈도우 2000 윈도우 XP ) 사용자는 Administrator admin guest 계정의 비밀 번호를 예상하기 어려운 것으로 바꾼다. 즉 비밀 번호를 abc123 1234567 abcd 888888 666666 111111 등으로 설정하는 것은 삼가해야 한다.

웜은 먼저 감염된 시스템의 IP를 가져와 C D 클래스부터 순차적으로 증가하여 감염대상을 찾는다. 이때 TCP 139 445 포트로 트래픽이 증가하게된다. 웜은 감염된 시스템의 IP 외 랜덤하게도 A B 클래식를 선정후 역시 C D 클래스부터 순차적으로 증가하여 감염대상을 찾고 하드코딩된 암호를 대입하여 연결되면 웜을 복사하게된다. 생성되는 파일명은 다음과 같다.

- Are you looking for Love.doc.exe
- autoexec.bat
- The world of lovers.txt.exe
- How To Hack Websites.exe
- Panda Titanium Crack.zip.exe
- Mafia Trainer!!!.exe
- 100 free essays school.pif
- AN-YOU-SUCK-IT.txt.pif
- Sex_For_You_Life.JPG.pif
- CloneCD + crack.exe
- Age of empires 2 crack.exe
- MoviezChannelsInstaler.exe
- Star Wars II Movie Full Downloader.exe
- Winrar + crack.exe
- SIMS FullDownloader.zip.exe
- MSN Password Hacker and Stealer.exe

또한 위와 같이 연결된 후 윈도우 시스템 폴더(일반적으로 C:WinNTSystem32)에 NetServices.exe (107008 바이트)파일을 복사한 후 'Microsoft NetWork FireWall Services' 이름의 서비스 형태로 실행되도록 해둔다.

파일들은 모두 메일에 첨부된 파일들과 같은 크기와 정보를 가지고 있다.

- 전파대상 및 방법

웜은 다음과 같은 파일에서 메일주소를 가져온다.

- *.ht* (SMTP 를 이용해서 보낼때)
- *.dbx (MAPI 를 이용해서 보낼때)

웜은 두 가지 프로토콜을 이용하여 웜이 첨부된 메일을 발송한다. 첫 번째는 중국의 모 SMTP 서버를 이용하고 웜 내부에 하드코딩된 형식으로 발송한다. 두 번째는 MAPI를 이용하여 받은 편지함에 답장하는 형태로 발송하게된다. 또한 윈도우 2000 의 관리목적 공유폴더 사용자 암호 관리 취약점을 이용하여도 전파된다. 그리고 읽기/쓰기 가능한 공유폴더및 네트워크 드라이브에도 '네트워크 전파방법'에 나열된 웜 파일을 복사해둔다.

- 실행후 증상

메일또는 네트워크로 전파된 웜을 실행하면 윈도우 시스템 폴더에(일반적으로 WindowsSystem WinntSystem32) 다음과 파일을 복사 생성한다. (테스트시 윈도우 9x 시스템에서는 웜이 정상적으로 실행되지 않았다.)

- 111.dll : 81920 바이트의 크기를 가지며 백도어 모듈과 웜 제작자에게 메일을 발송하는 모듈 Win-Trojan/LovGate.81920 으로 진단
- ily668.dll : 상 동
- kernel66.dll : 상 동
- reg678.dll : 상 동
- Task688.dll : 상 동
- IEXPLORE.EXE : 107008 바이트 크기를 가지며 웜 본체
- RAVMOND.exe : 상 동
- WinDriver.exe : 상 동
- WinGate.exe : 상 동
- WinHelp.exe : 상 동
- winrpc.exe : 상 동



웜은 다음의 레지스트리 값에 자신을 기록하여 부팅시 또는 *.TXT 확장자가 실행시 실행되도록 한다.

1. 웜 본체


HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run Program In Windows = C:윈도우 시스템 폴더IEXPLORE.EXE

2. 웜 본체

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run WinGate initialize = C:윈도우 시스템 폴더WinGate.exe -remoteshell

3. 웜 본체

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run WinHelp = C:윈도우 시스템 폴더WinHelp.exe



4. 웜 본체 (*.TXT 파일 실행시)

HKEY_CLASSES_ROOT
txtfile
shell
open
command (Default)= winrpc.exe %1

5. 백도어 모듈

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run Remote Procedure Call Locator = RUNDLL32.EXE reg678.dll ondll_reg

그리고 다음의 레지스트리에도 기록이 된다.

1. (서비스로 등록시)
HKEY_LOCAL_MACHINE
SYSTEM
ControlSet001
Services
Windows Management Instrumentation Driver Extension
ImagePath = C:윈도우 시스템 폴더WinDriver.exe -start_server

2. (서비스로 등록시)
HKEY_LOCAL_MACHINE
SYSTEM
ControlSet
Services
Windows Management Instrumentation Driver Extension
ImagePath = C:윈도우 시스템 폴더WinDriver.exe -start_server

3.
HKEY_CURRENT_USER
Software
Microsoft
Windows NT
CurrentVersion
Windows run = RAVMOND.exe

코드상에서는 윈도우 98 시스템인 경우 Win.ini 파일의 Run= RAVMOND.exe를 기록후 실행 되도록 되어 있지만 테스트시 웜은 윈도우9x 에서 실행되지 않았다.

또한 웜과 백도어 모듈은 윈도우 NT 계열에서는 서비스 형태로 등록되어 부팅시마다 실행된다. 다음과 같다.

* 백도어 모듈

- ll_reg = Rundll32.exe Task688.dll ondll_server

- NetMeeting Remote Desktop (RPC) Sharing = Rundll32.exe Task688.dll ondll_server

* 웜 본체

- Windows Management Instrumentation Driver Extension = C:윈도우 시스템 폴더WinDriver.exe -start_server

- Microsoft NetWork FireWall Services = C:윈도우 시스템 폴더NetServices.exe

- 그외 증상

웜은 TCP 20168 포트를 오픈해두는데 포트가 오픈된 경우 악의적인 사용자가 접근할 수도 있다. 그리고 웜이 설치된 시스템의 정보(시스템 명 사용자 명등)를 웜 제작자에게 발송하게 된다.

이 정보는 2003년 3월 24일 10시 00분에 최초 작성 되었으며 2003년 4월 2일 11시 08분 최종 수정 되었다.

치료방법 - V3 제품군 및 일반 사용자

* 전용백신 사용방법



1. 위 파일을 임의의 폴더에 내려받는다.

2. '검사시작' 버튼을 눌러서 검사를 진행한다.

3. 검사가 끝나면 '전체치료' 버튼을 눌러 진단된 웜과 트로이목마를 치료한다.

4. 안내되는 메시지에 따라 사용자는 시스템을 재부팅 한다.

- V3 제품군 사용자

1. V3를 실행후 최신엔진으로 업데이트 한다.

2. 검사할 드라이브를 지정하고 검사를 시작한다.

3. 프로세스에서 실행중인 Win32/LovGate.worm.107008 이 진단되면 안내되는 메시지의 '강제종료후 치료' 클릭한다. 이때 로컬 드라이브에 존재하는 파일은 자동삭제된다.

4. 웜은 메모리상에서 프로세스를 감시하고 있다가 3번과 같이 프로세스에서 자신이 종료되면 로컬에 생성해둔 웜 본체 IEXPLORE.EXE 를 실행하려고 한다. 이 경우에는 '시스템 감시'가 활성화 되어 있다면 자동으로 실행을 중지하고 사용자에게 알려준다. 이때 활성화된 치료창에서 IEXPLORE.EXE 는 치료(삭제)하면 된다.

5. 프로세스 검사와 지정 드라이브 검사가 끝나면 '치료창'이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 웜과 백도어를 치료(삭제)한다. 이때 프로세스에서 실행중인 백도어 모듈인 111.dll 이 실행중인것으로 진단되는데 이 경우에는 '치료후 재부팅'을 선택후 치료하도록 한다.

6. V3 사용자 경우 변경된 레지스트리값은 자동수정된다. (V3Pro 2000 / 2002 Deluxe 이상 사용자)

참고사항 - 윈도우 2000 시스템에서 사용자 암호를 설정하지 않거나 또는 누구나 알기 쉬운 계정및 암호는 보안상 안전하지 않으므로 주의해야한다. 취약한 계정을 계속 사용할 경우 웜을 치료(삭제)해도 재감염되므로 주의해야한다.

혹시 바이러스 체크후 삭제한 다음 exe 파일이 실행되지 않을때 참고하세요.

HKEY_CLASSES_ROOT/exefile/shell/open/command
위의 키값을 정상적으로 작동하는 컴에서 값을 복사해서 수정하세요.
그리고 감염된 컴은 regedit 실행이 안되니 원격에서 regedit를 연결해 수정하세요.
그리고 서비스 중에 레지스트리 원격제어가 있습니다.

우선
감염되 컴과 정상인 컴에 똑같은 계정을 관리자 그룸에 포함한후
두개의 컴에 로그인(OS는 모두 윈2000이어야 가능) 합니다.
그리고 regedit의 메뉴에 보면 네트워크 레지스트리 연결 을 누른후 컴을 찾아 연결후 위의 키값을 수정하세요.

이상이 있었던 키 값 --> C:\\WINNT\\System32\\winexe.exe \"%1\" %*

수정한 값 --> \"%1\" %* (정상적인 키값)으로 셋팅후 재시작 하세요.

원격제어시 윈도우 XP 와는 호환되지 않습니다.
두대의 컴퓨터가 모두 윈도우 2000 이어야 가능합니다.

감사합니다.