WORM_LOVGATE.C - 2003/2/24

感染警報VAC-３　ハッカーのリモートコントロールを可能にするワーム「WORM_LOVGATE.C」（ラブゲートC）

トレンドマイクロ株式会社（本社：東京都渋谷区、代表取締役社長 兼CEO：スティーブ・チャン）は、メールおよび共有フォルダ経由で感染し、ハッカーからのリモートコントロールを可能にするワーム「WORM_LOVGATE.C」（ラブゲート.C）について、15件の感染報告が確認されていることから、ウイルス警報VAC-3※1にて警告をすることをお知らせします。
トレンドマイクロ製品ではすでにパターンファイル467以降にて対応※2しています。

※1　VAC（Virus Alert Code）：トレンドマイクロが独自に発表している新種ウイルス警報です。新種ウイルスの感染力・破壊力などから脅威度を1～5までのレベルで表示しています。（VAC-1が最も脅威度が高い）VACについての詳細は下記URLよりご確認ください。
http://www.trendmicro.co.jp/virusinfo/vac.asp
※2　今後新たな亜種の発生も考えられるため、お使いの製品のパターンファイルを最新のものに更新してください。

「WORM_LOVGATE.C」（ラブゲートC）の特徴と対策

●現時点（2月24日19時現在）の感染被害報告件数：
15件（うち日本国内3件、世界12件）

●ウイルスのワーム活動：
「WORM_LOVGATE.C」（ラブゲート.C）は、ウイルス付メール送信の際に、メールクライアントに依存せず、WindowsのMAPIシステムを利用して自身でメールを送信します。またメール送信のために "SMTP.163.COM" というインターネット上のメールサーバが使用されます。
ウイルス付メールの添付ファイルを実行していなければワームが活動を開始することはありません。
また共有フォルダに感染する場合があります。この場合も、ワームが作成したファイルを実行しなければワームが活動を開始することはありません。
感染すると、コンピュータを起動するたびに自動起動するように Windows レジストリに追加し、Windows 9x/ME では Windows システムファイルである、Win.ini を改変します。

メール送信の際、Microsoft Outlook および Outlook Express で受信したメール全てに対して、返信メールを装って下記のウイルス付メールを送信しますので、受け取った方は騙されて添付ファイルを開いてしまいがちになります。

件名 ：RE: <元のメールの件名>

本文 ："感染したコンピュータ名" wrote:
====
送信されたメールの本文
====
YAHOO.COM Mail auto-reply:

' I'll try to reply as soon as possible.
Take a look to the attachment and send me your opinion! '

Get your FREE YAHOO.COM Mail now!

添付ファイル ：下記候補より選択します。
fun.exe
humor.exe
docs.exe
s3msong.exe
midsong.exe
billgt.exe
Card.EXE
SETUP.EXE
searchURL.exe
tamagotxi.exe
hamster.exe
news_doc.exe
PsPGame.exe
joke.exe
images.exe
pics.exe

※ネットワーク感染時、共有されたフォルダ、サブフォルダに自身のコピーを作成する時も同じ候補名から選ばれます。

●バックドア活動：
ワームが実行されるとポート10168を開きます。また、リモートユーザ（ハッカー）に感染マシンが利用可能であり、アクセス可能という旨のメールを送信します。ポート10168を通じでコマンドを送信することで、リモートユーザ（ハッカー）は感染マシン上で以下の動作の実行が可能になります。
・ プログラムの実行
・ 情報の取得
・ バックドアプログラムの再構成
　このワームがリモートユーザに送信するメールのあて先は以下のどちらかになります。
・ 54love@fescomail.net
・ hacker117@163.com

※トレンドマイクロではこのワームに関して、今なお調査を進めているため、情報が更新される場合があります。ご注意ください。ウイルスの活動およびウイルス付メールの詳細は下記URLよりご確認ください。

「WORM_LOVGATE.C」（ラブゲート.C）
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_LOVGATE.C

※TRENDMICROはトレンドマイクロ株式会社の登録商標です。※各社の社名および製品名は、各社の商標又は登録商標です。