基本介紹
- 中文名:“愛情後門”病毒
- 類型:病毒
- 發作現象:感染系統檔案、偷盜密碼
- 解決方法:防止該病毒給國內區域網路
運行狀況,發作現象,解決方法,
運行狀況
病毒運行時還會將自己複製到系統目錄下,通過修改註冊表和WIN.INI檔案兩種方式進行自啟動,大大增強了病毒運行的可能性,病毒被激活時會通過猜密碼的方式來破譯區域網路計算機的管理員密碼,取得最高許可權,成功後便能控制該計算機,如果不能成功,病毒還會將自己拷貝到區域網路計算機的已分享資料夾下,來誘使區域網路中的其它計算機用戶運行該病毒。
病毒運行時還會給系統開後門,並且每隔一小時就會向病毒作者傳送一封記錄被感染計算機IP信息的信件,使病毒作者能控制用戶計算機。該病毒還會搜尋用戶的E-MAIL地址,然後通過傳送大量病毒郵件來進行網路傳播,並極有可能會阻塞網路。
發作現象
1. 感染系統檔案、偷盜密碼
感染系統中的所有執行檔,在這些檔案尾部加入一個通過遠程竊取信息的模組,該病毒模組的作用是搜尋包含如下字眼的視窗:“登錄”、“註冊”、“密碼”、“口令”、“賬號”、“pass”,偷盜這些視窗中的密碼信息,並存於syszsl.dll檔案之中。
2. 超強的病毒感染與啟動能力。
病毒會釋放出WinRpcsrv.exe、Syshelp.exe、Winrpc.exe、WinGate.exe、Rpcsrv.exe五個病毒體分別感染系統,並修改相應的註冊表和啟動檔案win.ini(在其中加入:run=rpcsrv.exe)進行自啟動。
3. 通過密碼試探試圖控制區域網路計算機
病毒會利用遠程連線指令對區域網路中的有guest和Administrator賬號的計算機進行簡單密碼試探,如果成功將自己複製到對方的sytem32目錄中,命名為:stg.exe,並註冊成Window Remote Service服務來感染對方計算機,同時放出一個名為win32vxd.dll的盜密碼檔案,以盜取用戶密碼。
4. 建立後門,威脅區域網路安全。
病毒會使用10168連線埠在系統中建立一個後門,等待外界用戶連入,對用戶計算機進行遠程控制。
5. 瘋狂進行區域網路傳播
病毒運行時會不停地搜尋網路資源,導致整個區域網路資源被占用,如果發現有已分享資料夾,則將自身複製過去,病毒檔案名稱有以下幾種可能:humor.exe,fun.exe,docs.exe,s3msong.exe,midsong.exe,billgt.exe,Card.EXE,SETUP.EXE,searchURL.exe,tamagotxi.exe,hamster.exe,news_doc.exe,PsPGame.exe,joke.exe,images.exe,pics.exe,來誘使用戶運行病毒,造成區域網路病毒泛濫。
6. 傳送病毒郵件,阻塞網路。
病毒運行時會通過註冊表來搜尋電腦中的email地址,然後向這些地址傳送大量的帶毒郵件來阻塞網路。
郵件標題隨機從以下字元串中選出:
Cracks!The patchLast UpdateTest this ROM! IT ROCKS!。Adult content!!! Use with parental adviCheck our list and mail your requests!I think all will work fine.Send reply if you want to be official bTest it 30 days for free.
7. 不斷通知病毒作者。
病毒運行後,會每隔1小時傳送一次通知郵件到病毒作者的一個信箱,郵件的標題為:xyz123xyz123,內容為中毒系統的IP位址信息,當病毒作者收到病毒通知信件後,就可以利用病毒開的後門對用戶計算機進行遠程控制,為所欲為。
