PANAS ESTE SI ES UN VIRUS , Y VAYA QUE LO ES, ASI FORMATES EL SE VUELVE A RESTRUCTURAR PERO COMO TODO EN LA VIDA TIENE SOLUCION QUE TAl QUE NO??? PARA ESO ESTAMOS ACA
LES DEJO LA SOLUCION Y LA INFORMACION RESPECTO AL VIRUS , CUALQUIER DUDA
COMUNIQUESEN CON MIGO A EDITADO@hotmail.com

Nombre: W32/Lovgate.C
Aliases: W32.HLLW.Lovgate.C@mm, WORM_LOVGATE.C
Variantes: W32/Lovgate, W32/Lovgate.b
Fecha de Descubrimiento: 24/02/2003
Tipo: Gusano de internet
Gravedad: Media
Origen: Desconocido

Información: Para propagarse responde a todos los mensajes entrantes utilizando los principales clientes de correo electrónico.
Características: Al ser ejecutado, el virus, se copia a si mismo en el directorio C:\Windows\System con los siguientes nombres:

WinRpcsrv.exe
Syshelp.exe
Winrpc.exe
WinGate.exe
Rpcsrv.exe

Luego el virus realiza diferentes acciones de acuerdo a la plataforma en la cual se está ejecutando. Bajo Windows 9x/Me realiza lo siguiente:

En el archivo Win.ini agrega el valor run=rpcsrv.exe en la sección [windows].

Agrega 4 archivos, los cuales forman el componente troyano, dentro del directorio C:\Windows\System y los ejecuta:

ily.dll
Task.dll
Reg.dll
1.dll

Dentro de la clave HKLM\Software\Microsoft\Windows\CurrentVersion\Run del registro agrega los siguientes valores para ejecutar dichos archivos al inicio del sistema:

syshelp = C:\Windows\System\syshelp.exe
WinGate initialize = C:\Windows\System\WinGate.exe -remoteshell
Module Call initialize = RUNDLL32.EXE reg.dll ondll_reg

Además modifica el valor por defecto de la clave HKCR\txtfile\shell\open\command por winrpc.exe %1.

Copia dentro de los recursos compartidos y sus subdirectorios los siguientes archivos los cuales contienen el propio virus:

Pics.exe
Images.exe
Joke.exe
Pspgame.exe
News_doc.exe
Hamster.exe
Tamagotxi.exe
Searchurl.exe
Setup.exe
Card.exe
Billgt.exe
Midsong.exe
S3msong.exe
Docs.exe
Humor.exe
Fun.exe

Queda a la escucha del puerto TCP 10,168 y envía mediante el correo electrónico un aviso al atacante. Para acceder al equipo remotamente deberá ingresarse un password, si el mismo es correcto el atacante tendrá acceso a una consola de comandos.

Por último busca en el directorio en el cual ha sido ejecutado, el directorio de Windows y el listado en la clave HKCU\Software\Microsoft\Windows\CurrentVersion\ Explorer\Shell Folders\Personal archivos con extensiones .ht* y extrae de ellos todas las direcciones de correo electrónico. Luego, envía un mensaje con el virus adjunto a cada una de las direcciones encontradas en dichos archivos.

Debido a una falla en su código, el virus fallá al intentar responder todos los mensajes entrantes en el cliente de correo por defecto.

Si un correo recibido fuese el siguiente:

Asunto: (texto asunto)
De: (nombre de usuario)@(nombre del dominio)
Cuerpo: (mensaje original)

el gusano intentaría enviar un mensaje como el siguiente:

Asunto: Re: (texto asunto)
Para: SMTP:(alguien)@(algun dominio)
Cuerpo: ´(alguien)´ wrote:
===
> (mensaje original)
>
===

(algun dominio) account auto-reply:

´ I´ll try to reply as soon as possible.
Take a look to the attachment and send me your opinion!

> Get your FREE account now! <

Bajo Windows Xp/NT/2000 realiza además las siguientes acciones:

Se copia como C:\Windows\System32\Ssrv.exe bajo Windows XP o C:\WinNT\System32\Ssrv.exe en Windows NT/2000. Genera luego, en la clave HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows el valor run = rpcsrv.exe.

También es creada la clave HKLM\Software\KittyXP.sql\Install en el registro del sistema.

Si el virus detecta un proceso de nombre LSASS.EXE intentará crear un hilo remoto en dicho proceso insertandose dentro de él.

Ejecuta luego su componente troyano como un servicio de nombre Windows Management Extension.

Realiza también es escaneo en todas las máquinas de la red para intentar usar el usuario Administrator con alguno de las siguientes contraseñas:

(contraseña en blanco)
123
321
123456
654321
guest
administrator
admin
111111
666666
888888
abc
abcdef
abcdefg
12345678
abc123

Si el gusano puede ingresar en dicho equipo remotamente intentará copiarse como \\(equipo remoto)\admin$\system32\stg.exe e intentará ejecutar este archivo como un servicio de nombre Microsoft NetWork Services FireWall.

En su rutina de envío masivo de mensaje utiliza su propio motor SMTP. Agrega a los siguientes mensajes un archivo adjunto con su código. El mensaje enviado puede ser uno de los mostrados a continuación:

Asunto: Documents
Cuerpo: Send me your comments...
Archivo adjunto: Docs.exe

o

Asunto: Roms
Cuerpo: Test this ROM! IT ROCKS!.
Archivo adjunto: Roms.exe

o

Asunto: Pr0n!
Cuerpo: Adult content!!! Use with parental advisory.
Archivo adjunto: Sex.exe

o

Asunto: Evaluation copy
Cuerpo: Test it 30 days for free.
Archivo adjunto: Setup.exe

o

Asunto: Help
Cuerpo: I'm going crazy... please try to find the bug!
Arhivo adjunto: Source.exe

o

Asunto: Beta
Cuerpo: Send reply if you want to be official beta tester.
Archivo adjunto: _SetupB.exe

o

Asunto: Do not release
Cuerpo: This is the pack ;)
Archivo adjunto: Pack.exe

o

Asunto: Last Update
Cuerpo: This is the last cumulative update.
Archivo adjunto: LUPdate.exe

o

Asunto: The patch
Cuerpo: I think all will work fine.
Archivo adjunto: Patch.exe

o

Asunto: Cracks!
Cuerpo: Check our list and mail your requests!
Archivo adjunto: CrkList.exe

Para eliminarlo: Las grandes compañías desarrolladoras de antivirus ya han actualizado sus definiciones para detectar este virus. Para ver una lista de las direcciones de dónde bajar estos archivos

Algunas empresas ya han liberado herramientas para eliminar el gusano automáticamente:
AntiLovGate (BitDefender)
FixLGate (Symantec)

busquen el archivo para descar fixlgate se los recomiendo

espero les sirva el aporte,,, cambio y fuera

Editado: No está permitido publicar direcciones de emial en los foros. Para comunicarte en privado con los demás Users tienes la posibilidad de mandar mensajes privados internos de la comunidad, o activar tu correo-e.

PD: No somos partidarios del copy-paste, podrias nombrar la fuente de donde sacaste la información.-Pana-