Worm.LovGate.w屬於蠕蟲木馬病毒,影響系統Win9x/WinMe/WinNT/Win2000/WinXP/Win2003。
基本介紹
- 中文名:Worm.LovGate.w
- 威脅級別:★
- 病毒類型:蠕蟲
- 影響系統:Win9x/WinMe/WinNT/Win2000
病毒名稱,複製自身到,在系統目錄下生成如下檔案,發作分析,
病毒名稱
病毒別名:I-Worm.LovGate.w [AVP]I-Worm/Supkp.w[江民]
影響系統:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
病毒行為:
LovGate變種
編寫工具:
傳染條件:
發作條件:
複製自身到
%SystemRoot%Systra.exe
%System%
avmond.exe
%System%WinHelp.exe
%System%WinHelp.exe
%System%kernel66.dll
在系統目錄下生成如下檔案
%System%ODBCdll
%System%msjdbc11.dll
%System%MSSIGN30.DLL
%System%LMMIB20.DLL
發作分析
1、在註冊表主鍵:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
下添加如下鍵值:
"Program in Windows"="%System%iexplore.exe"
"Protected Storage"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"
"VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"
"WinHelp"="%system%WinHelp.exe"
2、在註冊表主鍵:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
下添加如下鍵值:
"SystemTra"="%SystemRoot%SysTra.exe"
3、在註冊表主鍵:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows
下添加如下鍵值:
"run"="RAVMOND.exe"
4、在Win.ini中的
[RUN]加入以下內容: run=ravmond.exe
5、注入到Explorer.exe 或 Taskmgr.exe中
6、在每個驅動盤的根目錄下創建如下檔案: AUTORUN.INF
及一個以RAR/ZIP為後綴的檔案。
7、中止以下防毒軟體進程
KV
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate McAfee
Symantec
SkyNet
rising
8、會開啟一個名為 Windows Management Protocol v.0 (experimental) 的服務
9、嘗試修改所有的EXE檔案為 zmx的後綴名,並設定為隱藏屬性
10、創建TCP6000連線埠的後門。
11、創建一個已分享檔案夾Media,並複製自身為:
Thank you.doc.exe
3D Flash Animator.rar.bat
SWF Browser2.93.txt.exe
Download.exe Panda Crack.zip.exe
WinRAR V3.2.0 Beta 2.exe
Swish2.00.pif
Adobe Photoshop7.0 creak.pif
You_Life.JPG.pif
CloneCD crack.exe WinZip
v9.0 Beta Build 5480 crack.exe
Real-DRAW PRO v3.10.exe
Star Wars Downloader.exe
HyperSnap-DX v5.20.01.exe
Adobe Photoshop6.0.zip.exe
HyperSnap-DX v4.51.01.exe
12、嘗試用以下密碼,對系統管理員進行攻擊
Guest
Administrator
zxcv
yxcv
xxx
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
88888888
2600
2003
2002
123asd
123abc
123456789
1234567
123123
121212
11111111
110
007
00000000
000000
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123
13、定位Kazaa軟體的已分享檔案夾,並將自己用以下的名稱複製到該資料夾中
wrar320sc
REALONE
BlackIcePCPSetup_creak
Passware5.3
word_pass_creak
HEROSOFT
orcard_original_creak
rainbowcrack-1.1-win
W32Dasm
setup
14、會傳送帶病毒的郵件。