Aunque en España son pocos los casos detectados, Trend Micro lo detecto en numerosos correos con origen en Taiwan, Australia y Japón, lo que ha llevado a calificar como de riesgo medio.

Como llega

Lovgate.C llega al equipo en un fichero adjunto a un mensaje de correo electrónico que puede tener diferentes formatos como, por ejemplo:

Asunto: Documents
Archivo adjunto: Docs.exe
Cuerpo del mensaje: Send me your comments...

Asunto: Pr0n!
Archivo adjunto: Sex.exe
Cuerpo del mensaje: Adult content!!! Use with parental advisory.

Asunto: Evaluation copy
Archivo adjunto: Setup.exe
Cuerpo del mensaje: Test it 30 days for free.

Infección del sistema

Si el usuario ejecuta el fichero, Lovgate.C crea copias de sí mismo con nombres aleatorios, tales como WinRpcsrv.e, syshelp.exe, winrpc.exe, fun.exe, WinGate.exe, rpcsrv.exe, humor.exe o docs.exe en directorios y subdirectorios de red compartidos.

Troyano

Por otra parte, Lovgate.C ha sido programado para responder a los mensajes no leídos que se encuentren en la bandeja de entrada del cliente de correo electrónico, enviando un archivo infectado junto con el texto:

YAHOO.COM Mail auto-reply:

' I'll try to reply as soon as possible.
Take a look to the attachment and send me your opinion! '

Además, este código malicioso tiene características propias de un troyano, ya que actúa como "backdoor" o puerta trasera mediante la apertura de un puerto TCP/IP, lo que permitiría a un hacker el acceso remoto a la máquina infectada.

Con este objetivo, Lovgate.C envía una notificación a la dirección de correo [email protected] o [email protected]

Adicionalmente, el gusano introduce varias entradas en el registro de Windows con el fin de asegurar su ejecución cada vez que se reinicie el equipo.

Detalles Técnicos

El gusano es una variante de: WORM_LOVGATE.B (Detalles de WORM_LOVGATE.B)

• Idioma: inglés
• Plataforma: Windows
• Encriptado: no
• Tamaño del virus: 78,848 Bytes
• Fichero de firmas: 467
• Motor de escaneo: 5.200
• Descubierto: Feb. 24, 2003 1:01:02 AM GMT -0800