病毒别名:I-Worm.LovGate.w [AVP]I-Worm/Supkp.w[江民]
处理时间:
威胁级别:★
中文名称:
病毒类型:蠕虫
影响系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
病毒行为:
LovGate变种
编写工具:
传染条件:
发作条件:
系统修改:
A、复制自身到:
%SystemRoot%Systra.exe
%System%
avmond.exe
%System%WinHelp.exe
%System%WinHelp.exe
%System%kernel66.dll
B、在系统目录下生成如下文件:
%System%ODBCdll
%System%msjdbc11.dll
%System%MSSIGN30.DLL
%System%LMMIB20.DLL
C、
1、在注册表主键:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
下添加如下键值:
"Program in Windows"="%System%iexplore.exe"
"Protected Storage"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"
"VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"
"WinHelp"="%system%WinHelp.exe"
2、在注册表主键:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
下添加如下键值:
"SystemTra"="%SystemRoot%SysTra.exe"
3、在注册表主键:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows
下添加如下键值:
"run"="RAVMOND.exe"
4、在Win.ini中的
[RUN]加入以下内容: run=ravmond.exe
5、注入到Explorer.exe 或 Taskmgr.exe中
6、在每个驱动盘的根目录下创建如下文件: AUTORUN.INF
及一个以RAR/ZIP为后缀的文件。
7、中止以下杀毒软件进程
KV
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate McAfee
Symantec
SkyNet
rising
8、会开启一个名为 Windows Management Protocol v.0 (experimental) 的服务
9、尝试修改所有的EXE文件为 zmx的后缀名,并设置为隐藏属性
10、创建TCP6000端口的后门。
11、创建一个共享文件夹Media,并复制自身为:
Thank you.doc.exe
3D Flash Animator.rar.bat
SWF Browser2.93.txt.exe
Download.exe Panda Crack.zip.exe
WinRAR V3.2.0 Beta 2.exe
Swish2.00.pif
Adobe Photoshop7.0 creak.pif
You_Life.JPG.pif
CloneCD crack.exe WinZip
v9.0 Beta Build 5480 crack.exe
Real-DRAW PRO v3.10.exe
Star Wars Downloader.exe
HyperSnap-DX v5.20.01.exe
Adobe Photoshop6.0.zip.exe
HyperSnap-DX v4.51.01.exe
12、尝试用以下密码,对系统管理员进行攻击
Guest
Administrator
zxcv
yxcv
xxx
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
88888888
2600
2003
2002
123asd
123abc
123456789
1234567
123123
121212
11111111
110
007
00000000
000000
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123
13、定位Kazaa软件的共享文件夹,并将自己用以下的名称复制到该文件夹中
wrar320sc
REALONE
BlackIcePCPSetup_creak
Passware5.3
word_pass_creak
HEROSOFT
orcard_original_creak
rainbowcrack-1.1-win
W32Dasm
setup
14、会发送带病毒的邮件。
发作现象:
特别说明: