Worm.LovGate.w

病毒别名：I-Worm.LovGate.w [AVP]I-Worm/Supkp.w[江民]

处理时间：

威胁级别：★

中文名称：

病毒类型：蠕虫

影响系统：Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

病毒行为:

LovGate变种

编写工具:

传染条件:

发作条件:

系统修改:

A、复制自身到：

%SystemRoot%Systra.exe

%System%

avmond.exe

%System%WinHelp.exe

%System%WinHelp.exe

%System%kernel66.dll

B、在系统目录下生成如下文件：

%System%ODBCdll

%System%msjdbc11.dll

%System%MSSIGN30.DLL

%System%LMMIB20.DLL

C、

1、在注册表主键：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

下添加如下键值：

"Program in Windows"="%System%iexplore.exe"

"Protected Storage"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"

"VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"

"WinHelp"="%system%WinHelp.exe"

2、在注册表主键：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

下添加如下键值：

"SystemTra"="%SystemRoot%SysTra.exe"

3、在注册表主键：

HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows

下添加如下键值：

"run"="RAVMOND.exe"

4、在Win.ini中的

[RUN]加入以下内容： run=ravmond.exe

5、注入到Explorer.exe 或 Taskmgr.exe中

6、在每个驱动盘的根目录下创建如下文件： AUTORUN.INF

及一个以RAR/ZIP为后缀的文件。

7、中止以下杀毒软件进程

KV

KAV

Duba

NAV

kill

RavMon.exe

Rfw.exe

Gate McAfee

Symantec

SkyNet

rising

8、会开启一个名为 Windows Management Protocol v.0 (experimental) 的服务

9、尝试修改所有的EXE文件为 zmx的后缀名，并设置为隐藏属性

10、创建TCP6000端口的后门。

11、创建一个共享文件夹Media，并复制自身为：

Thank you.doc.exe

3D Flash Animator.rar.bat

SWF Browser2.93.txt.exe

Download.exe Panda Crack.zip.exe

WinRAR V3.2.0 Beta 2.exe

Swish2.00.pif

Adobe Photoshop7.0 creak.pif

You_Life.JPG.pif

CloneCD crack.exe WinZip

v9.0 Beta Build 5480 crack.exe

Real-DRAW PRO v3.10.exe

Star Wars Downloader.exe

HyperSnap-DX v5.20.01.exe

Adobe Photoshop6.0.zip.exe

HyperSnap-DX v4.51.01.exe

12、尝试用以下密码，对系统管理员进行攻击

Guest

Administrator

zxcv

yxcv

xxx

win

test123

test

temp123

temp

sybase

super

sex

secret

pwd

pw123

Password

owner

oracle

mypc123

mypc

mypass123

mypass

love

login

Login

Internet

home

godblessyou

god

enable

database

computer

alpha

admin123

Admin

abcd

aaa

88888888

2600

2003

2002

123asd

123abc

123456789

1234567

123123

121212

11111111

110

007

00000000

000000

pass

54321

12345

password

passwd

server

sql

!@#$%^&*

!@#$%^&

!@#$%^

!@#$%

asdfgh

asdf

!@#$

1234

111

root

abc123

12345678

abcdefg

abcdef

abc

888888

666666

111111

admin

administrator

guest

654321

123456

321

123

13、定位Kazaa软件的共享文件夹，并将自己用以下的名称复制到该文件夹中

wrar320sc

REALONE

BlackIcePCPSetup_creak

Passware5.3

word_pass_creak

HEROSOFT

orcard_original_creak

rainbowcrack-1.1-win

W32Dasm

setup

14、会发送带病毒的邮件。

发作现象:

特别说明: