愛情後門變種V(Worm.LovGate.v)病毒依賴系統:WINDOWS9X/NT/2000/XP,發現日期:2004年3月11日,病毒將在系統中殖入遠程後門代碼,該代碼將回響遠程惡意用戶tcp請求方建一個遠程shell進程。(windows9x為command.com,WindowsNT,Windows2000,WindowsXP為cmd.exe),可以對本地機器進行完全控制。釋放通過QQ傳播的病毒:“Worm.LovGate.v.QQ”該病毒通過傳送誘惑信息導致用戶上當,從而中毒,詳情請參考該病毒報告。
基本介紹
- 中文名:愛情後門變種V
- 外文名:Worm.LovGate.v
- 內容分類: 蠕蟲病毒
- 知識庫編號:RSV0512258
- 適用作業系統:Windows 作業系統
病毒簡介,破壞,解決方案,
病毒簡介
愛情後門變種V(Worm.LovGate.v)病毒檔案
關鍵字:漿甩阿 愛情後門;Worm.Lovgate.V
適用操作系統補丁版本:全部補丁適用
愛情後門變種V(Worm.LovGate.v)病毒檔案及解決方案。
病毒評估
病毒大小:124,928 位元組
病毒危險等級:★★★★
發現民市燥日舉牛棗燥期:2004年3月11日
病毒傳播途徑:網路/郵件
病毒依賴系統:WINDOWS9X/NT/2000/XP
破壞
1.釋放後門病毒
病毒將酷料在系統中殖入遠程後門代碼,該代碼將回響遠程惡意用戶tcp請求方建一個遠程shell進程。(windows9x,WindowsNT,Windows2000,WindowsXP為cmd.exe),可以對本地機器進行完全控制。
2. 釋放通過QQ傳播的病毒:“Worm.LovGate.v.QQ”
該病毒通過傳送誘惑信息導致用戶上當,從而中毒,詳情請參考該病毒報告。
病毒報告
該病毒是蠕蟲病毒"愛情後門"的新變種,是一個集蠕蟲、後門一身的病毒,採用VC++編寫,多層壓縮。一旦運行,病毒將執行以下操作:
1.自我複製到系統目錄,相關檔案名稱為:
%SYSDIR%\IEXPLORE.EXE
%SYSDIR%\kernel66.dll
%SYSDIR%\RAVMOND.exe
%SYSDIR%\SysBoot.EXE
%SYSDIR%\WinDriver.exe
%SYSDIR%\winexe.exe
%SYSDIR%\WinGate.exe
%SYSDIR%\WinHelp.exe
同時也在每一個硬碟和再牛葛可移動驅動器根目錄下複製自己:
%DRIVER%\SysBoot.exe
2.病毒將釋放一個DLL檔案,此狼尋嚷檔案將在系統中殖入遠程後門代碼,相關檔案名稱為:
%SYSDIR%\reg678.dll
%SYSDIR%\Task688.dll
該代碼將回響遠程惡意用戶tcp請求建方一個遠程shell進程。(windows9x,WindowsNT,Windows2000,WindowsXP為cmd.exe),可以對本地機器進行完全控制。
3.病毒將釋放一個利用QQ傳送訊息傳播的病毒:“Worm.LovGate.v.QQ”,相關檔案名稱目錄朽拳凳肯為:
%SYSDIR%internet.exe
%SYSDIR%svch0st.exe
詳細報告請查閱該病毒報告。
4.病毒將修改註冊表的如下鍵值<病毒自啟動的伎倆>:
HKEY_CLASSES_ROOT\exefile\shell\open\command
?(默認) : %SYSDIR%\WINEXE.EXE "%1" %*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"WinGate initialize" = "%SYSDIR%\WINGATE.EXE? -REMOTESHELL"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"WinHelp" = "%SYSDIR%\WINHELP.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Remote Procedure Call Locator" = "RUNDLL32.EXE REG678.DLL? ONDLL_REG"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Program In Windows" = "%SYSDIR%\IEXPLORE.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
"SystemTra" = "%WINDIR%\SYSTRA.EXE /SYSTRA:KERNEL32.DLL"
在windows9x下還修改系統檔案:
WIN.INI
[WINDOWS]
"RUN" = "RAVMOND.EXE"
在windows2000、WindowsNT、WindowsXP下註冊服務:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg
Display Name = "ll_reg? "
IMAGEPATH = "RUNDLL32.EXE TASK688.DLL ONDLL_SERVER"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Instrumentation Driver Extension
Display Name = "Windows Management Instrumentation Driver Extension"
IMAGEPATH = "%SYSTEM%\WINDRIVER.EXE -START_SERVER"
病毒也將在每一個硬碟和可移動盤的根目錄下建立一個檔案:AUTORUN.INF的檔案,內容為:
[AUTORUN]
Open="%DRIVER%:\SysBoot.EXE" /StartExplorer
其中%DRIVER%為相應的驅動器。
這樣在用戶打開該驅動器後將運行病毒。
5.病毒的破壞功能:
Windows弱口令密碼試探攻擊、放出後門程式、盜取密碼。
6.區域網路傳播:
病毒窮舉網路資源,並將自己複製過去,檔案名稱為隨機的選取。
7.郵件傳播
病毒利用mapi及搜出的email地址,對收信箱裡的郵件進行回復(傳播)。
郵件標題隨機從病毒體內選出
當病毒被運行後每隔一定時間傳送一次通知郵件給位於網易的一個信箱,郵件內容為中毒系統的ip地址,以便利用病毒的後門進行控制。
解決方案
1、瑞星防毒軟體16.17.20版本可以徹底查殺此病毒,瑞星軟體用戶升級到最新版攔截此病毒。
2、使用專殺工具
3.病毒將釋放一個利用QQ傳送訊息傳播的病毒:“Worm.LovGate.v.QQ”,相關檔案名稱目錄為:
%SYSDIR%internet.exe
%SYSDIR%svch0st.exe
詳細報告請查閱該病毒報告。
4.病毒將修改註冊表的如下鍵值<病毒自啟動的伎倆>:
HKEY_CLASSES_ROOT\exefile\shell\open\command
?(默認) : %SYSDIR%\WINEXE.EXE "%1" %*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"WinGate initialize" = "%SYSDIR%\WINGATE.EXE? -REMOTESHELL"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"WinHelp" = "%SYSDIR%\WINHELP.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Remote Procedure Call Locator" = "RUNDLL32.EXE REG678.DLL? ONDLL_REG"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Program In Windows" = "%SYSDIR%\IEXPLORE.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
"SystemTra" = "%WINDIR%\SYSTRA.EXE /SYSTRA:KERNEL32.DLL"
在windows9x下還修改系統檔案:
WIN.INI
[WINDOWS]
"RUN" = "RAVMOND.EXE"
在windows2000、WindowsNT、WindowsXP下註冊服務:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg
Display Name = "ll_reg? "
IMAGEPATH = "RUNDLL32.EXE TASK688.DLL ONDLL_SERVER"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Instrumentation Driver Extension
Display Name = "Windows Management Instrumentation Driver Extension"
IMAGEPATH = "%SYSTEM%\WINDRIVER.EXE -START_SERVER"
病毒也將在每一個硬碟和可移動盤的根目錄下建立一個檔案:AUTORUN.INF的檔案,內容為:
[AUTORUN]
Open="%DRIVER%:\SysBoot.EXE" /StartExplorer
其中%DRIVER%為相應的驅動器。
這樣在用戶打開該驅動器後將運行病毒。
5.病毒的破壞功能:
Windows弱口令密碼試探攻擊、放出後門程式、盜取密碼。
6.區域網路傳播:
病毒窮舉網路資源,並將自己複製過去,檔案名稱為隨機的選取。
7.郵件傳播
病毒利用mapi及搜出的email地址,對收信箱裡的郵件進行回復(傳播)。
郵件標題隨機從病毒體內選出
當病毒被運行後每隔一定時間傳送一次通知郵件給位於網易的一個信箱,郵件內容為中毒系統的ip地址,以便利用病毒的後門進行控制。
解決方案
1、瑞星防毒軟體16.17.20版本可以徹底查殺此病毒,瑞星軟體用戶升級到最新版攔截此病毒。
2、使用專殺工具
