FANDOM


Lovgate, también conocido como Supnot, es un gusano de correo masivo con reconocimiento de red que tiene capacidades de troyano de puerta trasera.

Detalles

Cuando se ejecuta el gusano, se copia en la carpeta del sistema de Windows como uno de los siguientes nombres de archivo:

  • WinRpcsrv.exe
  • syshelp.exe
  • winrpc.exe
  • WinGate.exe
  • rpcsrv.exe.

Si la computadora ejecuta Windows 95, 98 o ME, agregará la línea run = rpcsrv.exe al archivo Win.ini, lo que garantiza que el gusano se ejecute cuando se inicia Windows. En los sistemas con el Registro, agrega los valores "syshelp =% system% \ syshelp.exe", "WinGate initialize =% system% \ WinGate.exe -remoteshell" y "Module Call initialize = RUNDLL32.EXE reg.dll ondll_reg" a la clave de registro de la máquina local que hace que se inicien cuando se inicia Windows. También establecerá el valor winrpc.exe% 1 en una clave de registro que hace que el gusano se ejecute cada vez que se abre un archivo de texto.

Si la computadora ejecuta Windows 2000, NT o XP, se copiará en la carpeta del sistema como ssrv.exe y agregará el valor "run = rpcsrv.exe" a la clave de registro del Usuario actual que hace que el programa se ejecute cuando la computadora empieza. También agrega la clave de registro de la máquina local Software \ KittyXP.sql \ Install.

Si el gusano ingresa con éxito a una computadora remota, se copia como stg.exe en la carpeta \ admin $ \ system32 \. Luego intenta iniciar un servicio llamado "Microsoft NetWork Services FireWall".

El gusano busca direcciones de correo electrónico en archivos que tienen extensiones que comienzan con .ht en las carpetas donde se ejecutó el gusano, "winpath" y una carpeta que figura en el valor del registro que enumera las carpetas personales del usuario actual. El gusano usa su propio motor SMTP para enviar un correo electrónico con una copia del gusano adjunto.

El contenido de la comunidad está disponible bajo CC-BY-SA a menos que se indique lo contrario.