病毒名称:
Worm.LovGate.k
类别: 蠕虫病毒
病毒资料:
破坏方法:
Worm.LovGate的新变种,该变种被加入了传染的部分,实现为:病毒体内包了一个EXE文件“绑定”器。 当病毒运行时,将自己复制到windows目录下并注册成系统服务。然后把自己分别复制到system目录下,文件名为syshelp.exe,WinGate.exe并在注册表run项中加入自身键值。病毒利用ntdll提供的api找到LSASS进程,并对其殖入远程后门代码。该代码,将响应用户tcp请求建方一个远程shell进程。win9x为command.com,NT,WIN2K,WINXP为cmd.exe)之后病毒将自身复制到windows目录并尝试在win.ini中加入run=ravmond.exe(病毒本身)并进入传播流程。
病毒的几个功能:
1.密码试探攻击:
病毒利用ipc进行guest和Administrator账号的简单密码试探。(使用如12345678,abcdef,888888)
2.放出后门程序:
病毒从自身体内放出一个dll文件负责建立远程shell后门。(端口10168)
3.盗用密码:
病毒放出一个名为win32vxd.dll的文件(hook函数)用以盗取用户密码。
4.后门
病毒本身也将建立一个后门,等待用户连入。
4.局域网传播:
病毒穷举网络资源,并将自己复制过去。文件名为随机的选取,病毒体内的文件名
4.发邮件
病毒利用mapi及搜出的email地址,对收信箱里的邮件进行回复(传播)。
邮件标题随机从病毒体内选出邮件地址搜索线程
病毒启动一个线程通过注册表
Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders得到系统目录
并搜索*.ht*中的email地址。用以进行邮件传播。
5.邮件通知病毒作者
当病毒被运行后每隔3600秒发送一次通知邮件给位于163.com的一个信箱。邮件的标题是xyz123xyz123 内容为中毒系统的ip地址,以便利用病毒的后门进行控制。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-5-15
