今天在自助查询机上碰到一种病毒,处理方法如下:
病毒名:W32.Lovgate.R@mm
类型:蠕虫病毒,爱情后门变种之一
该病毒发现于2004年4月5日,描述最近更新于2004年4月27日。
Symantec划定其危险等级为2级
W32.Lovgate.R@mm是W32.Lovgate@mm的变种之一,是一种蠕虫病毒,
具有电子邮件群发性质,可以用多变的电子邮件形式将自身传播到其他计算机。
W32.Lovgate.R@mm由C++编写,实行了JDPack和ASPack压缩。
别名:W32/Lovgate.x@MM [McAfee], I-Worm.LovGate.w [Kaspersky]
金山公司将Lovgate系列病毒命名为Supnot系列
感染长度:128,000字节——即125KB
受威胁的操作系统:Windows 95/98/Me/NT/2000/XP
免疫的操作系统:DOS,Linux,Macintosh,OS/2,UNIX,Windows 3.×
Symantec 公司的 Norton AntiVirus 产品 2004年4月5日 之后的病毒定义对该病毒有效
部分主要技术参数:
[注意:其中的特征可以作为判定感染病毒的依据!破折号是需特别注意的]
当W32.Lovgate.R@mm病毒被激活时,会出现如下症状——
(1)病毒将自身复制到
%Windir%\Systra.exe
%System%\Hxdef.exe
%System%\iexplore.exe —— 注意区别于IE浏览器的iexplore.exe
%System%\RAVMOND.exe —— 这个文件名易被误认作是瑞星杀毒软件的组件名
%System%\Kernel66.dll —— 该文件具有只读、隐藏和系统属性
%System%\WinHelp.exe
其中%Windir% 为 WINNT 目录(Windows2000系统)或 WINDOWS 目录(WindowsXP系统),
%System% 为 %Windir% 目录下的 system32 目录。
(2)创建后门/木马组件
%System%\ODBC16.dll
%System%\Msjdbc11.dll
%System%\MSSIGN30.DLL
%System%\LMMIB20.DLL
这些文件都具有 53,760 字节的长度。
(3)创建文件
%System%\NetMeeting.exe —— 易混淆于Windows的NetMeeting程序组件
%System%\spollsv.exe —— 易混淆于Windows的打印池/打印进程spoolsv.exe
这些文件具有 61,440 字节的长度。
(4)对注册表的操作
将键值
"Hardware Profile"="%System%\hxdef.exe
"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program in Windows"="%System%\IEXPLORE.EXE"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="%System%\spollsv.exe"
"VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"
"WinHelp"="%System%\WinHelp.exe"
添加到位置
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
将键值
"SystemTra"="%Windir%\Systra.exe"
添加到位置
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
将键值
"run"="RAVMOND.exe"
添加到位置
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
可能生成
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1
上述注册表操作使得病毒可以在各种受感染的操作系统启动时自动运行。
(5)对进程的操作
终止下列服务——
Rising Realtime Monitor Service
Symantec Antivirus Server
Symantec Client
新建服务——
"Windows Management Protocol v.0 (experimental)"
映射到"Rundll32.exe msjdbc11.dll ondll_server"
新建服务——
"_reg"映射到"Rundll32.exe msjdbc11.dll ondll_server"
终止含有下列字符串的进程——
KV;KAV;Duba;NAV;kill;RavMon.exe;Rfw.exe;Gate;McAfee;Symantec;SkyNet;rising
(6)运行后门程序
在计算机的6000端口运行后门程序,
该程序窃取计算机信息并存储于C:\Netlog.txt,
并由蠕虫以电子邮件形式发送给攻击者。
(7)在局域网中传播
以下列文件名将自身复制到网络共享文件夹和子文件夹中——
WinRAR.exe
Internet Explorer.bat
文档s and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
Windows更新.pif
Cain.pif
MSDN.ZIP.pif
auto执行.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
注意:如果计算机设置为隐藏已知类型文件的扩展名(默认设置),
则上述文件更具有欺骗性,容易误操作导致病毒激活!
扫描局域网上的所有计算机,用Administrator用户名和一组简单密码,
如果病毒成功登录远程计算机,它将会把自身复制到
\\<远程计算机名>\Admin$\system32\NetManager.exe
并将该程序启动为名为"Windows Management NetWork Service Extensions"的服务。
(8)一些本地操作
向 Explorer.exe 或 Taskmgr.exe 注入一个进程,
该进程会在蠕虫病毒未运行或者被删除时尝试复制自身并运行。
在一个随机的端口打开本地计算机的 FTP 服务,并且不设置身份验证。
建立一个网络共享名"Media"指向"%Windir%\Media"。
在所有硬盘驱动器分区和可写入的移动存储设备的根目录下生成
文件名为
WORK;setup;Important;bak;letter;pass
扩展名为
RAR;ZIP
的压缩文件,
其中包含
文件名为
WORK;setup;Important;book;email;PassWord
扩展名为
exe;com;pif;scr
的病毒副本。
注意:上面这点是该病毒最显著的特征,这些文件具有相同的 125K 大小。
在所有硬盘驱动器分区和可写入的移动存储设备的根目录下生成 Autorun.inf,
并将自身复制为同路径下的 Command.com,这将导致双击驱动器无法进入并激活病毒。
注意:上面这点是该病毒的另一显著特征。
扫描所有驱动器并试图将 .exe 文件更名为同名的 .zmx 文件,
再将病毒体本身复制为原先的 .exe 文件。
注意:上面这点也是该病毒很显著的特征。
(9)对外传播
试图通过TCP的135端口,以及微软的DCOM RPC漏洞(MS03-026)向外传播。
自动带毒回复所有到达本地的电子邮件,通过诸如 Outlook 的工具。
在本地计算机自动搜索电子邮件地址并通过病毒本身的SMTP服务器发送带毒邮件。
判别方法:
感染 W32.Lovgate.R@mm 的比较显著的特征——
出现125K大小的不明来源的压缩包;
双击无法进入驱动器,可能提示 Command 错误;
在存放 .exe 文件的目录下出现 .zmx 文件;
Outlook等电子邮件客户端自动发送信息等……
杀毒方法:
Symantec公司提供了一款专杀工具 —— FixLGate.com
此专杀工具针对 W32.Lovgate.R@mm 以及 W32.Lovgate.[A-L]@mm,
使用此工具时请注意下列问题——
(1)如果操作系统是 Windows Me 或者 Windows XP,关闭系统还原功能;
(2)启动计算机到安全模式(开机时按 F8 出现选单);
(3)进入安全模式后不要进行双击操作,要以 右键--打开 代替;
(4)最好是在断开网络的情况下进行操作。
也可以使用更新了病毒定义的 Norton AntiVirus 系列产品来杀毒,注意事项同上。
杀毒后请尽快连接到 Windows更新 网站进行更新,
确保计算机已经安装了所有检测到的关键更新。
预防措施:
(1)经常去 Windows更新 网站获取更新;
(2)安装可靠的实时监控的反病毒软件,并经常更新,推荐也安装防火墙;
(3)不进行局域网上的文件共享;
(4)为 Administrator 帐号设置高强度的密码;
(5)不要轻易运行电子邮件的附件,尤其当附件是文中提到的格式(可执行)时;
(6)对文中出现名称的未知来源的压缩包进行 Shift+Del 操作;
(7)及时在 Symantec 网站或本版获得病毒的最新信息以及应对措施。