Почтовый/сетевой червь, несущий в себе Backdoor-компоненту. На данный момент известно 4 модификации данного червя. Наибольшее распространение получила модификация I-Worm.LovGate.c. Червь является приложением Windows (PE EXE-файл), написан на Microsoft Visual C++, упакован утилитой AsPack.

Распространение по почте
I-Worm.LovGate распространяется в виде файлов, прикреплённых к письму. Для этого он использует два различных механизма распространения:

1. Червь открывает почтовую базу Outlook и делает "Ответить" на каждое из найденных писем. В формируемое письмо червь вставляет следующий текст:

    Subject: Re: [тема письма, на которое формируется ответ]
    Test:
      [имя инфицированного пользователя] wrote:
      ====
      > [оригинальный текст письма]
      ====
      [почтовый домен пользователя] account auto-reply:
   
     ' I'll try to reply as soon as possible.
     Take a look to the attachment and send me your opinion! '
   
     Get your FREE [почтовый домен пользователя] account now! 
   

   К письму присоединяется файл с телом вируса. Имя выбирается случайно из списка, хранящегося в теле. При таком распространении вирус не использует никаких уязвимостей,и файл на стороне пользователя автоматически не запускается (для того, чтобы активировать вирус, необходимо запустить его вручную).
2. Червь ищет файлы по маске *.HT* (HTML, HTM) в папках "Windows" и "My Documents", извлекает из них адреса электронной почты (для этого он ищет участки текста, начинающиеся с "mailto:") и затем, используя прямое подключение к почтовому серверу, указанному в системе или если такого нет, к серверу smtp.163.com, посылает письма по обнаруженным адресам. Тело письма может содержать один из следующих вариантов текста:

   • Subject: Documents
     Text: Send me your comments
     Attachment filename: Docs.exe
     

   • Subject: Roms
     Text: Test this ROM! IT ROCKS!
     Attachment filename: Roms.exe
     

   • Subject: Pr0n!
     Text: Adult content!!! Use with parental advisory.
     Attachment filename: Sex.exe 
     

   • Subject: Evaluation copy
     Text: Test it 30 days for free.
     Attachment filename: Setup.exe 
     

   • Subject: Help
     Text: I'm going crazy... please try to find the bug!
     Attachment filename: Source.exe 
     

   • Subject: Beta
     Text: Send reply if you want to be official beta tester.
     Attachment filename: _SetupB.exe
     

   • Subject: Do not release 
     Text: This is the pack ;) 
     Attachment filename: Pack.exe 
     

   • Subject: Last Update 
     Text: This is the last cumulative update.
     Attachment filename: LUPdate.exe 
     

   • Subject: The patch 
     Text: I think all will work fine.
     Attachment filename: Patch.exe 
     

   • Subject: Cracks!
     Text: Check our list and mail your requests!
     Attachment filename: CrkList.exe 
     

Распространение в локальной сети
Червь ищет в локальной сети компьютеры и пытается подключиться к системному сетевому ресурсу $IPC. Подключение червь пытается сделать как администратор, подбирая один из следующих паролей:

• 123
• 321
• 123456
• 654321
• guest
• administrator
• admin
• 111111
• 666666
• 888888
• abc
• abcdef
• abcdefg
• 12345678
• abc123

В локальной сети червь также ищет сетевые папки и диски, открытые на запись, и копирует себя в них с именами:

• billgt.exe
• card.exe
• docs.exe
• fun.exe
• hamster.exe
• humor.exe
• images.exe
• joke.exe
• midsong.exe
• news_doc.exe
• pics.exe
• PsPGame.exe
• s3msong.exe
• searchURL.exe
• setup.exe
• tamagotxi.exe

Инсталляция в систему
Червь копирует себя в папку Windows\System с одним из следующих имён:

• rpcsrv.exe
• syshelp.exe
• WinGate.exe
• winrpc.exe
• WinRpcsrv.exe

Backdoor-процедура
Червь запускает Backdoor-процедуру, которая открывает доступ к командной строке через порт 10168 и отправляет по одному из следующих адресов уведомление:

• [email protected]
• [email protected]