基本介紹
基本信息,病毒評估,病毒介紹,感染信息,解決方案,
基本信息
“愛情後門變種T”(Worm.LovGate.T)病毒檔案
內容分類: 蠕蟲病毒
適用作業系統:Windows 作業系統
適用作業系統補丁版本:全部補丁適用
“愛情後門變種T”(Worm.LovGate.T)病毒檔案
病毒評估
警惕程度:★★★★
發作時間:隨機
依賴系統: WINDOWS 9X/NT/2000/XP
病毒介紹
2003年11月17日,瑞星全球反病毒監測網在全球率先截獲“愛情後門”病毒的最新變種—“愛情後門變種T(Worm.LovGate.T)”,該病毒除了具有蠕蟲、黑客、後門等病毒特性外,還增加了感染系統檔案、盜竊密碼兩大全新功能,具有更大的危險性。
“愛情後門變種T”病毒會搜尋系統中的所有執行檔,在尾部加入一個遠程竊取信息的病毒模組,只要被感染的檔案運行,就會激活該病毒模組,然後搜尋包含如下字眼的視窗:“登錄”、“註冊”、“密碼”、“口令”、“賬號”、“pass”,偷盜這些視窗中的密碼信息,並存於syszsl.dll檔案之中,通過網路泄露出去。
病毒運行時還會將自己複製到系統目錄下,通過修改註冊表和WIN.INI檔案兩種方式進行自啟動,大大增強了病毒運行的可能性,病毒被激活時會通過猜密碼的方式來破譯區域網路計算機的管理員密碼,取得最高許可權,成功後便能控制該計算機,如果不能成功,病毒還會將自己拷貝到區域網路計算機的已分享資料夾下,來誘使區域網路中的其它計算機用戶運行該病毒。
病毒運行時還會給系統開後門,並且每隔一小時就會向病毒作者傳送一封記錄被感染計算機IP信息的信件,使病毒作者能控制用戶計算機。該病毒還會搜尋用戶的E-MAIL地址,然後通過傳送大量病毒郵件來進行網路傳播,並極有可能會阻塞網路。
感染信息
病毒的特性、發現與清除
1. 感染系統中的所有執行檔,在這些檔案尾部加入一個通過遠程竊取信息的模組,該病毒模組的作用是搜尋包含如下字眼的視窗:“登錄”、“註冊”、“密碼”、“口令”、“賬號”、“pass”,偷盜這些視窗中的密碼信息,並存於syszsl.dll檔案之中。
2. 病毒會釋放出WinRpcsrv.exe、Syshelp.exe、Winrpc.exe、WinGate.exe、Rpcsrv.exe五個病毒, 用戶可以在計算機中查找該病毒檔案,找到後刪除。
3. 當用戶系統為9X系統時,病毒會修改啟動檔案win.ini,在其中加入run=rpcsrv.exe項, 用戶可以用記事本程式將該檔案打開,將這一病毒項刪除。
4. 病毒會利用遠程連線指令對區域網路中的有guest和Administrator賬號的計算機進行簡單密碼試探,如果成功將自己複製到對方的sytem32目錄中,命名為:stg.exe,並註冊成Window Remote Service服務來感染對方計算機,同時放出一個名為win32vxd.dll的盜密碼檔案,以盜取用戶密碼。。
5. 病毒不停地搜尋網路資源,導致整個區域網路資源被占用,如果發現有已分享資料夾,則將自身複製過去,病毒檔案名稱有以下幾種可能:humor.exe,fun.exe,docs.exe,s3msong.exe,midsong.exe,billgt.exe,Card.EXE,SETUP.EXE,searchURL.exe,tamagotxi.exe,hamster.exe,news_doc.exe,
PsPGame.exe,joke.exe,images.exe,pics.exe, 區域網路的用戶如果在已分享資料夾中發現有這些檔案,請直接刪除。
6. 病毒會使用10168連線埠在系統中建立一個後門,等待外界用戶連入,對用戶計算機進行遠程控制。
7. 病毒運行時會通過註冊表來搜尋電腦中的email地址,然後向這些地址傳送大量的帶毒郵件來阻塞網路。
郵件標題隨機從以下字元串中選出:
Cracks!
The patch
Last Update
Test this ROM! IT ROCKS!.
Adult content!!! Use with parental advi
Check our list and mail your requests!
I think all will work fine.
Send reply if you want to be official b
Test it 30 days for free.
當用戶發現有這樣標題的信件時,不要隨便觀看這些郵件,最好直接將這些郵件刪除,以防止病毒運行。
8. 病毒運行後,會每隔1小時傳送一次通知郵件到病毒作者的一個信箱,郵件的標題為:xyz123xyz123,內容為中毒系統的IP位址信息,當病毒作者收到病毒通知信件後,就可以利用病毒開的後門對用戶計算機進行遠程控制,為所欲為。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了“愛情後門變種T(Worm.LovGate.T)”病毒。
解決方案
1、瑞星防毒軟體16.01版已可清除此病毒,目前瑞星用戶只需升級到最新版本即可徹底攔截此病毒。