分享
 
 
 

病毒名:W32.Lovgate.R@mm

王朝other·作者佚名  2006-02-01
窄屏简体版  字體: |||超大  

今天在自助查询机上碰到一种病毒,处理方法如下:

病毒名:W32.Lovgate.R@mm

类型:蠕虫病毒,爱情后门变种之一

该病毒发现于2004年4月5日,描述最近更新于2004年4月27日。

Symantec划定其危险等级为2级

W32.Lovgate.R@mm是W32.Lovgate@mm的变种之一,是一种蠕虫病毒,

具有电子邮件群发性质,可以用多变的电子邮件形式将自身传播到其他计算机。

W32.Lovgate.R@mm由C++编写,实行了JDPack和ASPack压缩。

别名:W32/Lovgate.x@MM [McAfee], I-Worm.LovGate.w [Kaspersky]

金山公司将Lovgate系列病毒命名为Supnot系列

感染长度:128,000字节——即125KB

受威胁的操作系统:Windows 95/98/Me/NT/2000/XP

免疫的操作系统:DOS,Linux,Macintosh,OS/2,UNIX,Windows 3.×

Symantec 公司的 Norton AntiVirus 产品 2004年4月5日 之后的病毒定义对该病毒有效

部分主要技术参数:

[注意:其中的特征可以作为判定感染病毒的依据!破折号是需特别注意的]

当W32.Lovgate.R@mm病毒被激活时,会出现如下症状——

(1)病毒将自身复制到

%Windir%\Systra.exe

%System%\Hxdef.exe

%System%\iexplore.exe —— 注意区别于IE浏览器的iexplore.exe

%System%\RAVMOND.exe —— 这个文件名易被误认作是瑞星杀毒软件的组件名

%System%\Kernel66.dll —— 该文件具有只读、隐藏和系统属性

%System%\WinHelp.exe

其中%Windir% 为 WINNT 目录(Windows2000系统)或 WINDOWS 目录(WindowsXP系统),

%System% 为 %Windir% 目录下的 system32 目录。

(2)创建后门/木马组件

%System%\ODBC16.dll

%System%\Msjdbc11.dll

%System%\MSSIGN30.DLL

%System%\LMMIB20.DLL

这些文件都具有 53,760 字节的长度。

(3)创建文件

%System%\NetMeeting.exe —— 易混淆于Windows的NetMeeting程序组件

%System%\spollsv.exe —— 易混淆于Windows的打印池/打印进程spoolsv.exe

这些文件具有 61,440 字节的长度。

(4)对注册表的操作

将键值

"Hardware Profile"="%System%\hxdef.exe

"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"

"Program in Windows"="%System%\IEXPLORE.EXE"

"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Shell Extension"="%System%\spollsv.exe"

"VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"

"WinHelp"="%System%\WinHelp.exe"

添加到位置

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

将键值

"SystemTra"="%Windir%\Systra.exe"

添加到位置

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

将键值

"run"="RAVMOND.exe"

添加到位置

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

可能生成

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1

上述注册表操作使得病毒可以在各种受感染的操作系统启动时自动运行。

(5)对进程的操作

终止下列服务——

Rising Realtime Monitor Service

Symantec Antivirus Server

Symantec Client

新建服务——

"Windows Management Protocol v.0 (experimental)"

映射到"Rundll32.exe msjdbc11.dll ondll_server"

新建服务——

"_reg"映射到"Rundll32.exe msjdbc11.dll ondll_server"

终止含有下列字符串的进程——

KV;KAV;Duba;NAV;kill;RavMon.exe;Rfw.exe;Gate;McAfee;Symantec;SkyNet;rising

(6)运行后门程序

在计算机的6000端口运行后门程序,

该程序窃取计算机信息并存储于C:\Netlog.txt,

并由蠕虫以电子邮件形式发送给攻击者。

(7)在局域网中传播

以下列文件名将自身复制到网络共享文件夹和子文件夹中——

WinRAR.exe

Internet Explorer.bat

文档s and Settings.txt.exe

Microsoft Office.exe

Windows Media Player.zip.exe

Support Tools.exe

Windows更新.pif

Cain.pif

MSDN.ZIP.pif

auto执行.bat

findpass.exe

client.exe

i386.exe

winhlp32.exe

xcopy.exe

mmc.exe

注意:如果计算机设置为隐藏已知类型文件的扩展名(默认设置),

则上述文件更具有欺骗性,容易误操作导致病毒激活!

扫描局域网上的所有计算机,用Administrator用户名和一组简单密码,

如果病毒成功登录远程计算机,它将会把自身复制到

\\<远程计算机名>\Admin$\system32\NetManager.exe

并将该程序启动为名为"Windows Management NetWork Service Extensions"的服务。

(8)一些本地操作

向 Explorer.exe 或 Taskmgr.exe 注入一个进程,

该进程会在蠕虫病毒未运行或者被删除时尝试复制自身并运行。

在一个随机的端口打开本地计算机的 FTP 服务,并且不设置身份验证。

建立一个网络共享名"Media"指向"%Windir%\Media"。

在所有硬盘驱动器分区和可写入的移动存储设备的根目录下生成

文件名为

WORK;setup;Important;bak;letter;pass

扩展名为

RAR;ZIP

的压缩文件,

其中包含

文件名为

WORK;setup;Important;book;email;PassWord

扩展名为

exe;com;pif;scr

的病毒副本。

注意:上面这点是该病毒最显著的特征,这些文件具有相同的 125K 大小。

在所有硬盘驱动器分区和可写入的移动存储设备的根目录下生成 Autorun.inf,

并将自身复制为同路径下的 Command.com,这将导致双击驱动器无法进入并激活病毒。

注意:上面这点是该病毒的另一显著特征。

扫描所有驱动器并试图将 .exe 文件更名为同名的 .zmx 文件,

再将病毒体本身复制为原先的 .exe 文件。

注意:上面这点也是该病毒很显著的特征。

(9)对外传播

试图通过TCP的135端口,以及微软的DCOM RPC漏洞(MS03-026)向外传播。

自动带毒回复所有到达本地的电子邮件,通过诸如 Outlook 的工具。

在本地计算机自动搜索电子邮件地址并通过病毒本身的SMTP服务器发送带毒邮件。

判别方法:

感染 W32.Lovgate.R@mm 的比较显著的特征——

出现125K大小的不明来源的压缩包;

双击无法进入驱动器,可能提示 Command 错误;

在存放 .exe 文件的目录下出现 .zmx 文件;

Outlook等电子邮件客户端自动发送信息等……

杀毒方法:

Symantec公司提供了一款专杀工具 —— FixLGate.com

此专杀工具针对 W32.Lovgate.R@mm 以及 W32.Lovgate.[A-L]@mm,

使用此工具时请注意下列问题——

(1)如果操作系统是 Windows Me 或者 Windows XP,关闭系统还原功能;

(2)启动计算机到安全模式(开机时按 F8 出现选单);

(3)进入安全模式后不要进行双击操作,要以 右键--打开 代替;

(4)最好是在断开网络的情况下进行操作。

也可以使用更新了病毒定义的 Norton AntiVirus 系列产品来杀毒,注意事项同上。

杀毒后请尽快连接到 Windows更新 网站进行更新,

确保计算机已经安装了所有检测到的关键更新。

预防措施:

(1)经常去 Windows更新 网站获取更新;

(2)安装可靠的实时监控的反病毒软件,并经常更新,推荐也安装防火墙;

(3)不进行局域网上的文件共享;

(4)为 Administrator 帐号设置高强度的密码;

(5)不要轻易运行电子邮件的附件,尤其当附件是文中提到的格式(可执行)时;

(6)对文中出现名称的未知来源的压缩包进行 Shift+Del 操作;

(7)及时在 Symantec 网站或本版获得病毒的最新信息以及应对措施。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有