基本介紹
- 中文名:愛情後門病毒
- 警惕程度::★★★★★
- 瑞星版本號:: 15.23
- 感染對象::硬碟資料夾
愛情後門病毒,病毒介紹,傳播途徑,病毒功能,愛情後門II,基本信息,病毒的幾個功能,解決方案,愛情後門變種T(Worm.LovGate.T),基本信息,病毒介紹,病毒的特性、發現與清除,反病毒專家的安全建議,愛情後門變種V(Worm.LovGate.v),病毒評估,病毒的破壞,病毒報告,病毒解決方案,安全建議,病毒專殺工具介紹,
愛情後門病毒
愛情不能假設,也沒有如果,但如果愛情被開了一個後門,是不是愛情將不再是愛情?
發作時間:隨機
病毒類型:蠕蟲病毒
傳播方式:網路/郵件
運行環境: WINDOWS 95/98/ME/NT/2000/XP/Vista/7(不一定)
病毒介紹
一個集蠕蟲後門黑客於一身的病毒。當病毒運行時,將自己複製到windows目錄下,檔案名稱為:WinRpcsrv.exe並註冊成系統服務。然後把自己分別複製到system目錄下,檔案名稱為syshelp.exe,WinGate.exe並在註冊表run項中加入自身鍵值。病毒利用ntdll提供的api找到LSASS進程,並對其殖入遠程後門代碼。(該代碼,將回響用戶tcp請求建方一個遠程shell進程。win9x為command. com,NT,WIN2K,WINXP為cmd.exe)之後病毒將自身複製到windows目錄並嘗試在win.ini中加入run=rpcsrv.exe。並進入傳播流程。
傳播途徑
該病毒通過病毒郵件進行傳播,一旦感染計算機後,就會建立一個“後門”,並與外界的操縱者取得聯繫,使得被感染機器處於外界的遠程控制之中。外界操縱者可以輕易地向本機傳送盜竊程式,獲得該計算機的密碼等資料。對於區域網路用戶來說,病毒通過一台被感染的計算機迅速傳播到整個區域網路,最終導致所有計算機用戶被外界操縱者控制、網路癱瘓、信息泄露等嚴重後果。如果外界操縱者帶有商業或政治等目的,那么使用這個病毒,將使政府機關和各商業機構的信息系統完全被控制、全部泄漏。 從上述分析中我們可以看出,這個病毒對企事業單位的區域網路用戶危害性極大。瑞星反病毒工程師提醒大家,普通的單機版防毒軟體很難徹底查殺區域網路內的病毒,特別是對“愛情後門”病毒群來說,最好使用網路版防毒軟體,才能充分保證區域網路不被攻擊。
病毒功能
病毒會釋放出WinRpcsrv.exe、Syshelp.exe、Winrpc.exe、WinGate.exe、Rpcsrv.exe五個病毒體分別感染系統,並修改相應的註冊表和啟動檔案(win.ini)進行自啟動。
2. 密碼試探攻擊,盜用密碼
3. 建立和釋放後門,威脅計算機安全
病毒會建立一個後門,等待外界用戶連入,然後從病毒體內放出一個dll後門程式負責建立遠程shell後門。
4. 瘋狂區域網路傳播
humor.exe | fun.exe | docs.exe | s3msong.exe |
midsong.exe | billgt.exe | Card.EXE | SETUP.EXE |
searchURL.exe | tamagotxi.exe | hamster.exe | news_doc.exe |
PsPGame.exe | joke.exe | images.exe | pics.exe |
病毒會啟動一個執行緒,通過註冊表SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders的表項得到系統目錄,然後搜尋*.ht*中的email地址,找到後,病毒就利用MAPI功能,向外不斷發送病毒郵件,郵件標題隨機從以下字元串中選出:
Cracks! | The patch |
Last Update | Test this ROM! IT ROCKS! |
Adult content!!! Use with parental advi | Check our list and mail your requests! |
I think all will work fine. | Send reply if you want to be official b |
Test it 30 days for free. |
6. 病毒會每隔1小時通知病毒作者。
病毒運行後,會每隔1小時傳送一次通知郵件到163. com的一個信箱,郵件的標題為:xyz123xyz123,內容為中毒系統的ip地址,當病毒作者收到病毒通知信件後,就可以利用病毒開的後門對用戶計算機進行遠程控制,為所欲為。
愛情後門II
基本信息
警惕程度:★★★★
發作時間:隨機
傳播方式:網路/郵件
運行環境: WINDOWS 95/98/ME/NT/2000/XP)/vista
感染對象:硬碟資料夾
病毒介紹:
當病毒運行時,將自己複製到windows目錄下自己分別複製到system目錄下,檔案名稱為
WinGate.exe | WinDriver.exe | Iexplore.exe | RavMond.exe | Winrpc.exe | Winhelp.exe |
並在註冊表run項中加入自身鍵值。病毒利用ntdll提供的api找到LSASS進程,並對其殖入遠程後門代碼。
(該代碼,將回響用戶tcp請求建方一個遠程shell進程。win9x為command. com,NT,WIN2K,WINXP
為cmd.exe)之後病毒將自身複製到windows目錄並嘗試在win.ini中加入run=RAVMOND.EXE。
並進入傳播流程。
病毒的幾個功能
1.密碼試探攻擊:
2.放出後門程式:
病毒從自身體內放出一個dll檔案負責建立遠程shell後門。(連線埠1092)
病毒本身將自己注入到lsass進程中,並建立20168連線埠的shell後門
3.盜用密碼:
4.區域網路傳播:
the hardcore game-.pif | Shakira.zip.exe |
dreamweaver MX (crack).exe | StarWars2 - CloneAttack.rm.scr |
DSL Modem Uncapper.rar.exe | joke.pif |
I am For u.doc.exe | s3msong.MP3.pif |
…… |
病毒啟動一個執行緒通過註冊表
Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders得到系統目錄
6.發郵件
Hi Dear | Great |
Last Update | Patrick Ewing will give Knick fans something to cheer about |
Adult content!!! | Use with parental advisory |
Friday night | …… |
進行控制。
解決方案
愛情後門變種T(Worm.LovGate.T)
基本信息
警惕程度:★★★★
發作時間:隨機
病毒類型:蠕蟲病毒
依賴系統:WINDOWS 9X/NT/2000/XP
病毒介紹
2003年11月17日,瑞星全球反病毒監測網在全球率先截獲“愛情後門”病毒的最新變種—“愛情後門變種T(Worm.LovGate.T)”,該病毒除了具有蠕蟲、黑客、後門等病毒特性外,還增加了感染系統檔案、盜竊密碼兩大全新功能,具有更大的危險性。當時國內外大部分反病毒軟體還無法將該病毒變種查出,因此瑞星反病毒工程師提醒廣大電腦用戶更要小心提防該病毒。
病毒運行時還會給系統開後門,並且每隔一小時就會向病毒作者傳送一封記錄被感染計算機IP信息的信件,使病毒作者能控制用戶計算機。該病毒還會搜尋用戶的E-MAIL地址,然後通過傳送大量病毒郵件來進行網路傳播,並極有可能會阻塞網路。
病毒的特性、發現與清除
1. 感染系統中的所有執行檔,在這些檔案尾部加入一個通過遠程竊取信息的模組,該病毒模組的作用是搜尋包含如下字眼的視窗:“登錄”、“註冊”、“密碼”、“口令”、“賬號”、“pass”,偷盜這些視窗中的密碼信息,並存於syszsl.dll檔案之中。
4. 病毒會利用遠程連線指令對區域網路中的有guest和Administrator賬號的計算機進行簡單密碼試探,如果成功將自己複製到對方的sytem32目錄中,命名為:stg.exe,並註冊成Window Remote Service服務來感染對方計算機,同時放出一個名為win32vxd.dll的盜密碼檔案,以盜取用戶密碼。。
5. 病毒不停地搜尋網路資源,導致整個區域網路資源被占用,如果發現有已分享資料夾,則將自身複製過去,病毒檔案名稱有以下幾種可能:
humor.exe | fun.exe | docs.exe | s3msong.exe |
midsong.exe | billgt.exe | Card.EXE | SETUP.EXE |
searchURL.exe | tamagotxi.exe | hamster.exe | ews_doc.exe |
PsPGame.exe | joke.exe | images.exe | pics.exe |
郵件標題隨機從以下字元串中選出:
Cracks! | The patch |
Last Update | Test this ROM! IT ROCKS! |
Adult content!!! Use with parental advi | Check our list and mail your requests! |
I think all will work fine. | Send reply if you want to be official b |
Test it 30 days for free. |
8. 病毒運行後,會每隔1小時傳送一次通知郵件到病毒作者的一個信箱,郵件的標題為:xyz123xyz123,內容為中毒系統的IP位址信息,當病毒作者收到病毒通知信件後,就可以利用病毒開的後門對用戶計算機進行遠程控制,為所欲為。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了“愛情後門變種T(Worm.LovGate.T)”病毒,為避免用戶遭受損失,瑞星公司已於截獲該病毒當天就進行了升級,瑞星防毒軟體2004版、瑞星線上防毒、瑞星防毒軟體2004“下載版”,這三款產品每周三次同步升級,16.01版已可清除此病毒。
反病毒專家的安全建議
2. 關閉或刪除系統中不需要的服務。默認情況下,許多作業系統會安裝一些輔助服務,如 FTP 客戶端、Telnet 和 Web 伺服器。這些服務為攻擊者提供了方便,而又對用戶沒有太大用處,如果刪除它們,就能大大減少被攻擊的可能性。
6. 了解一些病毒知識。這樣就可以及時發現新病毒並採取相應措施,在關鍵時刻使自己的計算機免受病毒破壞:如果能了解一些註冊表知識,就可以定期看一看註冊表的自啟動項是否有可疑鍵值;如果了解一些記憶體知識,就可以經常看看記憶體中是否有可疑程式。
7. 最好是安裝專業的防毒軟體進行全面監控。在病毒日益增多的今天,使用毒軟體進行防毒,是越來越經濟的選擇,不過用戶在安裝了反病毒軟體之後,應該經常進行升級、將一些主要監控經常打開(如郵件監控)、遇到問題要上報, 這樣才能真正保障計算機的安全。
愛情後門變種V(Worm.LovGate.v)
發現日期:3月11日
病毒評估
病毒英文名:Worm.LovGate.v.
病毒類型:蠕蟲病毒
病毒危險等級:★★★★
病毒傳播途徑:網路/郵件
病毒依賴系統:WINDOWS9X/NT/2000/XP
病毒的破壞
1.釋放後門病毒
病毒將在系統中殖入遠程後門代碼,該代碼,將回響遠程惡意用戶tcp請求建方一個遠程shell進程。(win9x為command. com,NT,WIN2K,WINXP為cmd.exe),可以對本地機器進行完全控制。
2. 釋放通過QQ傳播的病毒:“Worm.LovGate.v.QQ”
該病毒通過傳送誘惑信息導致用戶上當,從而中毒,詳情請參考該病毒報告。
病毒報告
該病毒是蠕蟲病毒"愛情後門"的新變種,是一個集蠕蟲、後門一身的病毒,採用VC 編寫,多層壓縮。
一旦運行,病毒將執行以下操作:
1.自我複製到系統目錄,相關檔案名稱為:
%SYSDIR%\IEXPLORE.EXE | %SYSDIR%\kernel66.dll |
%SYSDIR%\RAVMOND.exe | %SYSDIR%\SysBoot.EXE |
%SYSDIR%\WinDriver.exe | %SYSDIR%\winexe.exe |
%SYSDIR%\WinGate.exe | %SYSDIR%\WinHelp.exe |
同時也在每一個硬碟和可移動驅動器根目錄下複製自己:
%DRIVER%\SysBoot.exe
2.病毒將釋放一個DLL檔案,此檔案將在系統中殖入遠程後門代碼,相關檔案名稱為:
%SYSDIR%\reg678.dll
%SYSDIR%\Task688.dll
該代碼,將回響遠程惡意用戶tcp請求建方一個遠程shell進程。(win9x為command. com,NT,WIN2K,WINXP為cmd.exe),可以對本地機器進行完全控制。
3.病毒將釋放一個利用QQ傳送訊息傳播的病毒:“Worm.LovGate.v.QQ”,相關檔案名稱目錄為:
%SYSDIR%internet.exe
%SYSDIR%svch0st.exe
詳細報告請查閱該病毒報告。
HKEY_CLASSES_ROOT\exefile\shell\open\command (默認) : %SYSDIR%\WINEXE.EXE "%1" %* |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "WinGate initialize" = "%SYSDIR%\WINGATE.EXE -REMOTESHELL" |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "WinHelp" = "%SYSDIR%\WINHELP.EXE" |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "Remote Procedure Call Locator" = "RUNDLL32.EXE REG678.DLL ONDLL_REG" |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "Program In Windows" = "%SYSDIR%\IEXPLORE.EXE" |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices "SystemTra" = "%WINDIR%\SYSTRA.EXE /SYSTRA:KERNEL32.DLL" |
在win9x下還修改系統檔案:
WIN.INI
[WINDOWS]
"RUN" = "RAVMOND.EXE"
在win2k、NT、XP下註冊服務:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg Display Name = "ll_reg " IMAGEPATH = "RUNDLL32.EXE TASK688.DLL ONDLL_SERVER" |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Instrumentation Driver Extension Display Name = "Windows Management Instrumentation Driver Extension" IMAGEPATH = "%SYSTEM%\WINDRIVER.EXE -START_SERVER" |
病毒也將在每一個硬碟和可移動盤的根目錄下建立一個檔案:AUTORUN.INF的檔案,內容為:
[AUTORUN]
Open="%DRIVER%:\SysBoot.EXE" /StartExplorer
其中%DRIVER%為相應的驅動器。
這樣在用戶打開該驅動器後將運行病毒。
5.病毒的破壞功能
Windows弱口令密碼試探攻擊、放出後門程式、盜取密碼。
6.區域網路傳播
病毒窮舉網路資源,並將自己複製過去,檔案名稱為隨機的選取。
7.郵件傳播
郵件標題隨機從病毒體內選出, 當病毒被運行後每隔一定時間傳送一次通知郵件給位於163. com的一個信箱,郵件內容為中毒系統的ip地址,以便利用病毒的後門進行控制。
病毒解決方案
1.進行升級
瑞星公司於2004年3月12日當天進行升級,升級後的軟體版本號為16.17.20,該版本的瑞星防毒軟體可以徹底查殺此病毒,瑞星防毒軟體標準版和網路版的用戶可以直接登入瑞星網站下載升級包進行升級,或者使用瑞星防毒軟體的“智慧型升級”功能。
2.使用專殺工具
3.使用線上防毒和下載版
4.打電話求救
5.手動清除
安全建議
2.關閉或刪除系統中不需要的服務。默認情況下,作業系統會安裝一些輔助服務,如 FTP 客戶端、Telnet 和 Web 伺服器。這些服務為攻擊者提供了方便,而又對用戶沒有太大作用,如果刪除它們,就能大大減少被攻擊的可能性,增強電腦的安全。
3.經常升級安全補丁。據統計,大部分網路病毒都是通過系統安全漏洞進行傳播的,象衝擊波、大無極、SCO炸彈、網路天空等。漏洞的存在,會造成防毒殺不乾淨的狀況,所以應該定期到微軟網站去下載最新的安全補丁,堵住系統的漏洞。
5.迅速隔離受感染的計算機。當計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。
6.了解一些病毒知識。這樣就可以及時發現新病毒並採取相應措施,在關鍵時刻使自己的計算機免受病毒破壞。如果能了解一些註冊表知識,就可以定期看一看註冊表的自啟動項是否有可疑鍵值;如果能了解一些記憶體知識,就可以經常看看記憶體中是否有可疑程式。