病毒名称(中文):
恶邮差变种AD
病毒别名:
W32.Lovgate.X@mm[Norton]
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
143360
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
恶邮差
编写工具:MicrosoftVisualC++6.0
传染条件:通过邮件传播
发作条件:用户误运行,或系统密码过于简单
系统修改:
A、1、木马运行后会将自身复制到系统目录下:
%SystemRoot%SYSTRA.EXE
%System%hxdef.exe
%System%IEXPLORE.EXE
%System%RAVMOND.exe
%System%
ealsched.exe
%System%vptray.exe
%System%kernel66.dll
2、在系统安装目录中生成
%System%ODBCdll
%System%msjdbc11.dll
%System%MSSIGN30.DLL
%System%LMMIB20.DLL
%System%NetMeeting.exe
%Windir%suchost.exe
%System%spollsv.exe
3、在每个盘符下生成如下两个文件
AUTORUN.INF
COMMAND.EXE
使用户一双击盘符即会中毒
B、1、在注册表主键:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
下添加如下键值:
"WinHelp"="%SYSTEM%"
ealsched.exe"
"HardwareProfile"="%SYSTEM%"hxdef.exe"
"MircorsoftNetMeetingAssociates,Inc."="NetMeeting.exe"
"ProgramInWindows"="%system%IEXPLORE.EXE"
"VFWEncoder/DecoderSettings"="RUNDLL32.EXEMSSIGN30.DLLondll_reg"
"ProtectedStorage"="RUNDLL32.EXEMSSIGN30.DLLondll_reg"
"ShellExtension"="%system%spollsv.exe"
2、对注册表主键:
HKEY_LOCAL_MACHINESOFTWAREClassesxtfileshellopencommand
修改如下键值
"默认"="vptray.exe%1"
3、在注册表主键
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
unServices
下添加如下键值:
"SystemTra"="%Windor%SysTra.EXE"
"COM++System"="suchost.exe"
4、对于win98/me系统会对%system%win.ini文件内添加如下内容:
run=%System%RAVMOND.exe
C、会创建一个名为"WindowsManagementProtocolv.0(experimental)"和"_reg"的两个服务,服务对应的病毒文件为msjdbc11.dll和ondll_server。
D、随机开启一个端口,作为后门。
E、收集系统信息,存为C:NETLOG.TXT,每行均以NETDI做为开头
F、复制自身到所有共享目录中,文件名可能是以下之一:
WinRAR.exe
InternetExplorer.bat
DocumentsandSettings.txt.exe
MicrosoftOffice.exe
WindowsMediaPlayer.zip.exe
SupportTools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
G、会释放一个名为suchost.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为:I090909!
发作现象:
A、假如杀毒软件进程存在,则中止以下进程:
KV
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate
McAfee
Symantec
SkyNet
rising
B、对网络上的计算机的治理员密码,进行弱密码攻击:弱密码如下:
Guest
Administrator
zxcv
yxcv
xxx
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
88888888
2600
2004
2003
123asd
123abc
123456789
1234567
123123
121212
11111111
110
007
00000000
000000
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123
假如攻击成功的话,则病毒感染这台机器。
C、搜索邮件列表,并试图发电子邮件,电子邮件的附件一般名为:
thehardcoregame-.pif
SexinOffice.rm.scr
DeutschBloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
HowtoCrackallgamez.exe
MacromediaFlash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaverMX(crack).exe
StarWars2-CloneAttack.rm.scr
IndustryGiantII.exe
DSLModemUncapper.rar.exe
joke.pif
Britneyspearsnude.exe.txt.exe
IamForu.doc.exe
D、在所有目录中搜索后缀名为如下的的文件
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.wab
从中找到邮件地址,并用自己的邮件系统发送邮件
非凡说明:
