“愛情後門”病毒

愛情後門變種T”病毒會搜尋系統中的所有執行檔,在尾部加入一個遠程竊取信息的病毒模組,只要被感染的檔案運行,就會激活該病毒模組,然後搜尋包含如下字眼的視窗:“登錄”、“註冊”、“密碼”、“口令”、“賬號”、“pass”,偷盜這些視窗中的密碼信息,並存於syszsl.dll檔案之中,通過網路泄露出去。

基本介紹

  • 中文名:“愛情後門”病毒
  • 類型:病毒
  • 發作現象:感染系統檔案、偷盜密碼
  • 解決方法:防止該病毒給國內區域網路
運行狀況,發作現象,解決方法,

運行狀況

病毒運行時還會將自己複製到系統目錄下,通過修改註冊表和WIN.INI檔案兩種方式進行自啟動,大大增強了病毒運行的可能性,病毒被激活時會通過猜密碼的方式來破譯區域網路計算機的管理員密碼,取得最高許可權,成功後便能控制該計算機,如果不能成功,病毒還會將自己拷貝到區域網路計算機的已分享資料夾下,來誘使區域網路中的其它計算機用戶運行該病毒。
病毒運行時還會給系統開後門,並且每隔一小時就會向病毒作者傳送一封記錄被感染計算機IP信息的信件,使病毒作者能控制用戶計算機。該病毒還會搜尋用戶的E-MAIL地址,然後通過傳送大量病毒郵件來進行網路傳播,並極有可能會阻塞網路。

發作現象

愛情後門變種T病毒的詳細發作現象:
1. 感染系統檔案、偷盜密碼
感染系統中的所有執行檔,在這些檔案尾部加入一個通過遠程竊取信息的模組,該病毒模組的作用是搜尋包含如下字眼的視窗:“登錄”、“註冊”、“密碼”、“口令”、“賬號”、“pass”,偷盜這些視窗中的密碼信息,並存於syszsl.dll檔案之中。
2. 超強的病毒感染與啟動能力。
病毒會釋放出WinRpcsrv.exe、Syshelp.exe、Winrpc.exe、WinGate.exe、Rpcsrv.exe五個病毒體分別感染系統,並修改相應的註冊表和啟動檔案win.ini(在其中加入:run=rpcsrv.exe)進行自啟動。
3. 通過密碼試探試圖控制區域網路計算機
病毒會利用遠程連線指令對區域網路中的有guest和Administrator賬號的計算機進行簡單密碼試探,如果成功將自己複製到對方的sytem32目錄中,命名為:stg.exe,並註冊成Window Remote Service服務來感染對方計算機,同時放出一個名為win32vxd.dll的盜密碼檔案,以盜取用戶密碼。
4. 建立後門,威脅區域網路安全
病毒會使用10168連線埠在系統中建立一個後門,等待外界用戶連入,對用戶計算機進行遠程控制。
5. 瘋狂進行區域網路傳播
病毒運行時會不停地搜尋網路資源,導致整個區域網路資源被占用,如果發現有已分享資料夾,則將自身複製過去,病毒檔案名稱有以下幾種可能:humor.exe,fun.exe,docs.exe,s3msong.exe,midsong.exe,billgt.exe,Card.EXE,SETUP.EXE,searchURL.exe,tamagotxi.exe,hamster.exe,news_doc.exe,PsPGame.exe,joke.exe,images.exe,pics.exe,來誘使用戶運行病毒,造成區域網路病毒泛濫。
6. 傳送病毒郵件,阻塞網路。
病毒運行時會通過註冊表來搜尋電腦中的email地址,然後向這些地址傳送大量的帶毒郵件來阻塞網路。
郵件標題隨機從以下字元串中選出:
Cracks!The patchLast UpdateTest this ROM! IT ROCKS!。Adult content!!! Use with parental adviCheck our list and mail your requests!I think all will work fine.Send reply if you want to be official bTest it 30 days for free.
7. 不斷通知病毒作者。
病毒運行後,會每隔1小時傳送一次通知郵件到病毒作者的一個信箱,郵件的標題為:xyz123xyz123,內容為中毒系統的IP位址信息,當病毒作者收到病毒通知信件後,就可以利用病毒開的後門對用戶計算機進行遠程控制,為所欲為。

解決方法

為了防止該病毒給國內區域網路及個人用戶帶來影響,瑞星公司已於第一時間對該病毒進行了處理,瑞星防毒軟體15.62版本可以徹底清除該病毒,對於手中沒有防毒軟體的用戶,瑞星提供了線上防毒和病毒專殺工具兩種方式清除該病毒,用戶可以登入:online.rising.com.cn,使用線上防毒或登入it.rising.com.cn/service/technology/tool.htm使用該病毒的專殺工具進行清毒。

相關詞條

熱門詞條

聯絡我們