Win32.Lovgate.H

簡介

病毒名稱：Win32.Lovgate.H

病毒屬性：蠕蟲病毒

危害性：中等危害

流行程度：中

運行時，蠕蟲以下面這些檔案名稱拷貝自己的副本到系統目錄下：

RAVMOND.EXE

WINHELP.EXE

WINGATE.EXE

IEXPLORE.EXE

WINDRIVER.EXE

WINRPC.EXE

KERNEL66.DLL （隱藏檔案）

蠕蟲檔案的大小為107,008位元組。

蠕蟲會以"winrpc.exe %1"替換原來註冊表中HKCR\txtfile\shell\open\command下的鍵值，以便用戶一打開文本檔案蠕蟲就被自動調用。

蠕蟲還修改下面2個註冊表鍵值，以便Windows一啟動蠕蟲就自動運行：

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows,

"Programs"="com exe bat pif cmd"

"run" = "RAVMOND.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,

"WinHelp" = "C:\WINNT\System32\WinHelp.exe"

"WinGate initialize" = "C:\WINNT\System32\WinGate.exe -remoteshell"

"Remote Procedure Call Locator" = "RUNDLL32.EXE reg678.dll ondll_reg"

"Program In Windows" = "C:\WINNT\System32\IEXPLORE.EXE"

Lovgate.H 可以將自身註冊為一個服務：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Instrumentation Driver Extension

"ImagePath" = "%SYSTEM\WinDriver.exe - start_server"

蠕蟲通過郵件傳播，但有兩種不同的方式。第一種是使用MAPI來回復用戶收件夾中的郵件，這些看起來像正式的回覆郵件，都引用原文，並有下列這些特徵：（[ ]符號中的是可變的）

主題：

Re: [original subject]

正文：

'[recipient name]' wrote: