病毒别名:W32.Lovgate.X@mm[Norton]
处理时间:
威胁级别:★★★
中文名称:恶邮差变种AD
病毒类型:蠕虫
影响系统:Win9x/WinNT/Win2K/WinXP/Win2003
病毒行为:
恶邮差
编写工具:Microsoft Visual C++ 6.0
传染条件:通过邮件传播
发作条件:用户误运行,或系统密码过于简单
系统修改:
A、1、木马运行后会将自身复制到系统目录下:
%SystemRoot%SYSTRA.EXE
%System%hxdef.exe
%System%IEXPLORE.EXE
%System%RAVMOND.exe
%System%
ealsched.exe
%System%vptray.exe
%System%kernel66.dll
2、在系统安装目录中生成
%System%ODBCdll
%System%msjdbc11.dll
%System%MSSIGN30.DLL
%System%LMMIB20.DLL
%System%NetMeeting.exe
%Windir%suchost.exe
%System%spollsv.exe
3、在每个盘符下生成如下两个文件
AUTORUN.INF
COMMAND.EXE
使用户一双击盘符即会中毒
B、1、在注册表主键:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
下添加如下键值:
"WinHelp"="%SYSTEM%"
ealsched.exe"
"Hardware Profile" ="%SYSTEM%"hxdef.exe"
"Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program In Windows"="%system%IEXPLORE.EXE"
"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="%system%spollsv.exe"
2、对注册表主键:
HKEY_LOCAL_MACHINESOFTWAREClasses xtfileshellopencommand
修改如下键值
"默认"="vptray.exe %1"
3、在注册表主键
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
unServices
下添加如下键值:
"SystemTra"="%Windor%SysTra.EXE"
"COM++ System"="suchost.exe"
4、对于win98/me系统 会对%system%win.ini文件内添加如下内容:
run=%System%RAVMOND.exe
C、会创建一个名为 "Windows Management Protocol v.0 (experimental)"和"_reg"的两个服务,服务对应的病毒文件为msjdbc11.dll 和ondll_server。
D、随机开启一个端口,作为后门。
E、收集系统信息,存为C:NETLOG.TXT,每行均以NETDI做为开头
F、复制自身到所有共享目录中,文件名可能是以下之一:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
G、会释放一个名为suchost.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为:I090909!
发作现象:
A、如果杀毒软件进程存在,则中止以下进程:
KV
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate
McAfee
Symantec
SkyNet
rising
B、对网络上的计算机的管理员密码,进行弱密码攻击:弱密码如下:
Guest
Administrator
zxcv
yxcv
xxx
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
88888888
2600
2004
2003
123asd
123abc
123456789
1234567
123123
121212
11111111
110
007
00000000
000000
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123
如果攻击成功的话,则病毒感染这台机器。
C、搜索邮件列表,并试图发电子邮件,电子邮件的附件一般名为:
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
D、在所有目录中搜索后缀名为如下的的文件
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.wab
从中找到邮件地址,并用自己的邮件系统发送邮件
特别说明: