Preventieve maatregelen:
Herkenning van besmetting:
Als W32.HLLW.Lovgate.F@mm wordt gestart dan gebeuren er de volgende acties:
1. Het virus kopieert zichzelf naar %System% map als:
o WinRpcsrv.exe
o Syshelp.exe
o Winrpc.exe
o WinGate.exe
o Rpcsrv.exe

Let op: %System% is een variabele. De worm localiseerd het systeemmap en kopieert zichzelf naar deze locatie. Dit is vaak C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
2. Als de geïnfecteerde computer draait op Windows 95/98/Me dan voegt het virus het volgende toe:

run=rpcsrv.exe

aan de [windows] sectie in de Win.ini bestanden.

3. Kopieert zichzelf naar %System% map en voert dan het volgende uit:
o ily.dll
o Task.dll
o Reg.dll
o 1.dll

Let op: deze bestanden zijn de Trojan bestanden van W32.HLLW.Lovgate.F@mm.

4. Voegt de waarde toe:

syshelp %system%\syshelp.exe
WinGate initialize %system%\WinGate.exe -remoteshell
Module Call initialize RUNDLL32.EXE reg.dll ondll_reg

Registry
Voegt de volgende sleutel in de registry toe:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

5. Modificeert de volgende sleutel:

HKEY_CLASS_ROOT\txtfile\shell\open\command

naar:

winrpc.exe %1

6. Kopieert zichzelf naar alle gedeelde bestanden en mappen op uw systeem bijvoorbeeld:
o Pics.exe
o Images.exe
o Joke.exe
o Pspgame.exe
o News_doc.exe
o Hamster.exe
o Tamagotxi.exe
o Searchurl.exe
o Setup.exe
o Card.exe
o Billgt.exe
o Midsong.exe
o S3msong.exe
o Docs.exe
o Humor.exe
o Fun.exe

7. Het virus scanned port 10168. De worm heeft een paswoord verificatie routine. Als een paswoord wordt ingevoerd dan stuurt het een afschrift naar de hacker.

8. Deelt de volgende mappen:
.\ (This is the folder from which the worm was executed.)
winpath\
The folder listed in the following registry value:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders\Personal
9. Als de worm mappen en bestanden met de extentie"ht," vind dan zal het proberen alle email bestanden te vergaren zodat er een e-mail met de virus verstuurt wordt naar alle adressen.

10. Het virus probeert een reply te sturen naar alle inkommende berichten van MAPI-e-mail clienten zoals Microsoft Outlook.

Het originele e-mail:
Subject: onderwerp
From: gebruikersnaam@
Message: origineel bericht

the worm attempts to send the following email:

Subject: Re: onderwerp
To: SMTP:iemand@
Message:
iemand schreef:
===
bericht
===

iemand.com account automatische-reply:

' I'll try to reply as soon as possible.
Take a look to the attachment and send me your opinion! '

> Get your FREE iemand.com account now! <

Verwijder instructies:
Verwijder het virus met één van de gratis online scanners

- Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.
De bestanden genoemd onder punt 5 dienen altijd handmatig te worden verwijderd!)

- Indien uw AV-software niet meer werkt: De-installeer deze via het Windows-configuratie-scherm, en installeer de software opnieuw.
(Vergeet niet deze gelijk te updaten!!)

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.
De registry kunt u bekijken door te kiezen voor [start] -> [uitvoeren] -> regedit {enter}.