Worm.LovGate.w

病毒名称(中文):

病毒别名:

I-Worm.LovGate.w[AVP]I-Worm/Supkp.w[江民]

威胁级别:

★☆☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

118784

影响系统:

Win9xWinNTWin2000WinXPWin2003

病毒行为:

LovGate变种

编写工具:

传染条件:

发作条件:

系统修改:

A、复制自身到：

%SystemRoot%Systra.exe

%System%

avmond.exe

%System%WinHelp.exe

%System%WinHelp.exe

%System%kernel66.dll

B、在系统目录下生成如下文件：

%System%ODBCdll

%System%msjdbc11.dll

%System%MSSIGN30.DLL

%System%LMMIB20.DLL

C、

1、在注册表主键：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

下添加如下键值：

"PrograminWindows"="%System%iexplore.exe"

"ProtectedStorage"="RUNDLL32.exeMSSIGN30.DLLondll_reg"

"VFWEncoder/DecoderSettings"="RUNDLL32.exeMSSIGN30.DLLondll_reg"

"WinHelp"="%system%WinHelp.exe"

2、在注册表主键：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

下添加如下键值：

"SystemTra"="%SystemRoot%SysTra.exe"

3、在注册表主键：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows

下添加如下键值：

"run"="RAVMOND.exe"

4、在Win.ini中的

[RUN]加入以下内容：run=ravmond.exe

5、注入到Explorer.exe或Taskmgr.exe中

6、在每个驱动盘的根目录下创建如下文件：AUTORUN.INF

及一个以RAR/ZIP为后缀的文件。

7、中止以下杀毒软件进程

KV

KAV

Duba

NAV

kill

RavMon.exe

Rfw.exe

GateMcAfee

Symantec

SkyNet

rising

8、会开启一个名为WindowsManagementProtocolv.0(experimental)的服务

9、尝试修改所有的EXE文件为zmx的后缀名，并设置为隐藏属性

10、创建TCP6000端口的后门。

11、创建一个共享文件夹Media，并复制自身为：

Thankyou.doc.exe

3DFlashAnimator.rar.bat

SWFBrowser2.93.txt.exe

Download.exePandaCrack.zip.exe

WinRARV3.2.0Beta2.exe

Swish2.00.pif

AdobePhotoshop7.0creak.pif

You_Life.JPG.pif

CloneCDcrack.exeWinZip

v9.0BetaBuild5480crack.exe

Real-DRAWPROv3.10.exe

StarWarsDownloader.exe

HyperSnap-DXv5.20.01.exe

AdobePhotoshop6.0.zip.exe

HyperSnap-DXv4.51.01.exe

12、尝试用以下密码，对系统治理员进行攻击

Guest

Administrator

zxcv

yxcv

xxx

win

test123

test

temp123

temp

sybase

super

sex

secret

pwd

pw123

Password

owner

oracle

mypc123

mypc

mypass123

mypass

love

login

Login

Internet

home

godblessyou

god

enable

database

computer

alpha

admin123

Admin

abcd

aaa

88888888

2600

2003

2002

123asd

123abc

123456789

1234567

123123

121212

11111111

110

007

00000000

000000

pass

54321

12345

password

passwd

server

sql

!@#$%^&*

!@#$%^&

!@#$%^

!@#$%

asdfgh

asdf

!@#$

1234

111

root

abc123

12345678

abcdefg

abcdef

abc

888888

666666

111111

admin

administrator

guest

654321

123456

321

123

13、定位Kazaa软件的共享文件夹，并将自己用以下的名称复制到该文件夹中

wrar320sc

REALONE

BlackIcePCPSetup_creak

Passware5.3

word_pass_creak

HEROSOFT

orcard_original_creak

rainbowcrack-1.1-win

W32Dasm

setup

14、会发送带病毒的邮件。

发作现象:

非凡说明:

• ·Win32.Hack.Agobot.Ge
• ·Win32.Troj.AnalyzeIE
• ·Win32.Troj.Killav.bb
• ·Win32.Hack.Rbot.Ge
• ·Worm.Dabber.a
• ·Win32.Hack.Subot.b
• ·Win32.Troj.GearBinder
• ·Worm.Deborm.am
• ·Win32.Hack.Spyboter.cy
• ·Win32.Troj.QQtail.h