W32.HLLW.Lovgate.G@mm 是 W32.HLLW.Lovgate.C@mm的變種。 此蠕蟲包含大量群發郵件攻擊和後門程式功能。此變種在 Windows 95/98/Me 下不能正常工作。為了將自己傳播,此蠕蟲會試圖回應收到的郵件和傳送郵件給它在HTML 檔案中找到的郵件地址。發出的郵件會從事先定義好的清單中選取郵件主題和附屬檔案內容。附屬檔案的擴展名會是 .exe,.pif, 或 .scr。W32.HLLW.Lovgate.G@mm 還會嘗試將自己複製到所中本地網路的計算機從而將其感染。
基本介紹
- 中文名:W32.HLLW.Lovgate.G@mm
- 發現:2003 年 3 月 24 日
- 更新: 2007 年 2 月 13 日
- 類型:Worm
簡介,基本信息,注意,威脅評估,廣度,損壞,分發,活動,複製到自身檔案,複製後運行,加入註冊鍵,複製到已分享檔案,監聽,密碼確定,其他,建議,手動刪除,
簡介
基本信息
11:45:29 AM
別名: WORM_LOVGATE.F [Trend], WORM_LOVGATE.G [Trend], W32/Lovgate.f@M [McAfee], W32/Lovgate.g@M [McAfee], W32/Lovgate-E [Sophos], I-Worm.LovGate.f [KAV], Win32/Lovgate.F.Worm [CA]
感染長度: 107,008 bytes
受感染的系統: Windows 2000, Windows NT, Windows XP
注意
: 2003 年 3 月 24 日以前的病毒定義會將此威脅確認為 W32.HLLW.Lovgate.C@mm。賽門鐵克安全回響已經推出了針對 W32.HLLW.Lovgate.G@mm 的防毒工具。
防護
* 病毒定義(每周 LiveUpdate™) 2003 年 3 月 25 日
* 病毒定義(智慧型更新程式) 2003 年 3 月 25 日
威脅評估
廣度
* 廣度級別: Medium
* 感染數量: 50 - 999
* 站點數量: More than 10
* 地理位置分布: Medium
* 威脅抑制: Easy
* 清除: Difficult
損壞
* 損壞級別: Medium
* 大規模傳送電子郵件: Attempts to reply to incoming email messages and to the email addresses that it finds in HTML files
* 危及安全設定: Allows unauthorized access to the infected computer
分發
* 分發級別: High
* 電子郵件的主題: Chosen from a predetermined list
* 附屬檔案名稱: Chosen from a predetermined list with a .exe, .pif, or .scr file extension
* 附屬檔案大小: 107,008 bytes
* 連線埠: TCP 1092, 20168, 6000
* 共享驅動器: Copies across shared drives
活動
當 W32.HLLW.Lovgate.G@mm 運行時,會有以下活動:
複製到自身檔案
以下列之一為檔案名稱將自身複製到 %System% 資料夾:
* Ravmond.exe
* WinGate.exe
* WinDriver.exe
* Winrpc.exe
* Winhelp.exe
* Iexplore.exe
* Kernel66.dll
* NetServices.exe
複製後運行
將下列檔案複製到 %System% 資料夾後運行它們:
* Task688.dll
* Ily688.dll
* Reg678.dll
* 111.dll
加入註冊鍵
1. 將下列值:
winhelp %system%\winhelp.exe
WinGate initialize %system%\WinGate.exe -remoteshell
Remote Procedure Call Locator rundll32.exe reg678.dll ondll_reg
Program in Windows %system%\iexplore.exe
加入註冊鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
這樣一來蠕蟲會在每次重啟 Windows 時運行。
2. 將下列值:
run RAVMOND.EXE
加入註冊鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
3. 將下面註冊鍵的默認值:
HKEY_CLASS_ROOT\txtfile\shell\open\command
改為:
winrpc.exe %1
這樣一來蠕蟲會在你每次打開一個 .txt 檔案時運行。
複製到已分享檔案
. 將其本身以下列檔案名稱複製到所有的網路已分享檔案夾及其子資料夾:
* Are you looking for Love.doc.exe
* autoexec.bat
* The world of lovers.txt.exe
* How To Hack Websites.exe
* Panda Titanium Crack.zip.exe
* Mafia Trainer!!!.exe
* 100 free essays school.pif
* AN-YOU-SUCK-IT.txt.pif
* Sex_For_You_Life.JPG.pif
* CloneCD + crack.exe
* Age of empires 2 crack.exe
* MoviezChannelsInstaler.exe
* Star Wars II Movie Full Downloader.exe
* Winrar + crack.exe
* SIMS FullDownloader.zip.exe
* MSN Password Hacker and Stealer.exe
監聽
監聽 TCP 1092、10168 和 6000 埠上的通訊並用在163.com和 yahoo.com.cn 的電子郵件通知駭客。 此蠕蟲有例行密碼確認。 在鍵入正確密碼後,蠕蟲將為駭客打開命令解釋程式。
密碼確定
此蠕蟲在 1092、10168 埠上有例行密碼確認。 在鍵入正確密碼後,蠕蟲將為駭客打開命令解釋程式。
其他
2. 試圖從 HTML 中收集所有的電子郵件地址,並會試圖回復所有 Microsoft Outlook 信箱收到的郵件。請參見本文的“電子郵件例程詳細信息”。
3. 在本地網路上掃描所有計算機,並使用下列密碼來試圖以 "administrator" (系統管理員)身份登錄。
* zxcv
* yxcv
* xxx
* win
* test123
* test
* temp123
* temp
* sybase
* super
* sex
* secret
* pwd
* pw123
* Password
* owner
* oracle
* mypc123
* mypc
* mypass123
* mypass
* love
* login
* Login
* Internet
* home
* godblessyou
* god
* enable
* database
* computer
* alpha
* admin123
* Admin
* abcd
* aaa
* 88888888
* 2600
* 2003
* 2002
* 123asd
* 123abc
* 123456789
* 1234567
* 123123
* 121212
* 11111111
* 110
* 007
* 00000000
* 000000
* pass
* 54321
* 12345
* password
* passwd
* server
* sql
* !@#$%^&*
* !@#$%^&
* !@#$%^
* !@#$%
* asdfgh
* asdf
* !@#$
* 1234
* 111
* root
* abc123
* 12345678
* abcdefg
* abcdef
* abc
* 888888
* 666666
* 111111
* admin
* administrator
* guest
* 654321
* 123456
* 321
* 123
12. 如果蠕蟲成功登錄到遠端計算機,它會將自己複製為:
\\<remote computer name>\admin$\system32\netservices.exe
然後,它會以 "Microsoft NetWork Services FireWall" 服務的形式打開檔案。
13. 創建服務 "Windows Management Instrumentation Driver Extension",其執行檔案 %System32%\WinDriver.exe。
14. 創建服務 "NetMeeting Remote Desktop (RPC) Sharing",其執行命令為 "Rundll32.exe task688.dll ondll_server"。
15. 將自己註冊為一項服務從而能在用戶註銷後依舊運行。
19. 該蠕蟲監視 Explorer.exe 或 Taskmgr.exe 中的遠端執行緒,並在其終止時重新將其注入 Explorer.exe 或 Taskmgr.exe。蠕蟲以此套路來保持自己總是處於激活狀態。I
20. 以 "I-WORM-NEW-IPC-20168 Running" 為名創建一個互斥來確認蠕蟲正在運行,該字元串也可能是 "I-WORM-NEW-IPC-20168"。
電子郵件例程詳細信息
有兩種電子郵件例程信息:
例程 1
寄出的信息會以下列內容組合:
主題:主題會是下列其中之一:
* Reply to this!
* Let's Laugh
* Last Update
* for you
* Great
* Help
* Attached one Gift for u..
* Hi Dear
* See the attachement
郵件正文:郵件正文會是下列其中之一:
* For further assistance, please contact!
* Copy of your message, including all the headers is attached.
* This is the last cumulative update.
* Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
* Send reply if you want to be official beta tester.
* This message was created automatically by mail delivery software (Exim).
* It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
* Adult content!!! Use with parental advisory.
* Patrick Ewing will give Knick fans something to cheer about Friday night.
* Send me your comments...
附屬檔案:附屬檔案實際上是蠕蟲自身的拷貝,附屬檔案名會是下列其中之一:
* About_Me.txt.pif
* driver.exe
* Doom3 Preview!!!.exe
* enjoy.exe
* YOU_are_FAT!.TXT.pif
* Source.exe
* Interesting.exe
* README.TXT.pif
* images.pif
* Pics.ZIP.scr
例程 2
寄出的信息會以下列內容組合:
主題:Re: <Original Subject>
郵件正文:
<someone> wrote:
===
> <original message body>
>
===
<original sender> auto-reply:
> Get your FREE <original sender hostname> now! <
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
附屬檔案:The attachment, which is a copy of the worm, will be one of the following:
* the hardcore game-.pif
* Sex in Office.rm.scr
* Deutsch BloodPatch!.exe
* s3msong.MP3.pif
* Me_nude.AVI.pif
* How to Crack all gamez.exe
* Macromedia Flash.scr
* SETUP.EXE
* Shakira.zip.exe
* dreamweaver MX (crack).exe
* StarWars2 - CloneAttack.rm.scr
* Industry Giant II.exe
* DSL Modem Uncapper.rar.exe
* joke.pif
* Britney spears nude.exe.txt.exe
* I am For u.doc.exe
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
使用 W32.HLLW.Lovgate.G@mm 防毒工具
這是最簡單快速的方法。單擊這裡獲取防毒工具。
手動刪除
作為防毒工具的替代,您也可以依照下列說明手動刪除。
以下指導適用於所有當前和最新的 Symantec 防病毒產品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
1. 更新病毒定義。
2. 運行完整的系統掃描,並刪除所有檢測為W32.HLLW.Lovgate.G@mm 的檔案。
3. 撤消蠕蟲對註冊表所做的更改。
有關每個步驟的詳細信息,請閱讀以下指導。
1. 更新病毒定義
Symantec 安全回響中心在我們的伺服器上發布任何病毒定義之前,會對其進行全面測試以保證質量。 可以通過兩種方式獲得最新的病毒定義:
* 運行 LiveUpdate,這是獲得病毒定義最簡便的方法。如果未出現重大的病毒爆發情況,這些病毒定義會在 LiveUpdate 伺服器上每周發布一次(一般為星期三)。 要確定是否可以通過 LiveUpdate 獲得解決該威脅的病毒定義,請見本說明頂部“防護”部分的病毒定義 (LiveUpdate) 部分。
* 使用“智慧型更新程式”下載病毒定義。 “智慧型更新程式”病毒定義會在美國工作日(周一至周五)發布。 您應當從 Symantec 安全回響中心網站下載定義並手動安裝它們。 要確定是否可以通過“智慧型更新程式”獲得解決該威脅的病毒定義,請見本說明頂部的病毒定義(智慧型更新程式)部分。
智慧型更新程式病毒定義可從這裡獲得。若要了解如何從賽門鐵克安全回響中心下載和安裝智慧型更新程式病毒定義,請單擊這裡。
2. 掃描和刪除受感染檔案
1. 啟動 Symantec 防病毒程式,並確保已將其配置為掃描所有檔案。
o Norton AntiVirus 單機版產品: NAV 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
o 賽門鐵克企業版防病毒產品: NAV 企業版產品:請閱讀“如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案”。
2. 運行完整的系統掃描。
3. 如果有任何檔案被檢測為感染了W32.HLLW.Lovgate.G@mm,請單擊“刪除”。
3. 撤消蠕蟲對註冊表所做的更改
警告: Symantec 強烈建議在更改註冊表之前先進行備份。 錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。 應只修改指定的鍵。 有關指導請參閱文檔:如何備份 Windows 註冊表。
1. 單擊“開始”,然後單擊“運行”。 將出現“運行”對話框。)
2. 鍵入
regedit
然後單擊“確認”。(註冊表編輯器打開。)
3. 瀏覽到註冊鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. 在右窗格中,刪除下列值:
winhelp %system%\winhelp.exe
WinGate initialize %system%\WinGate.exe -remoteshell
Remote Procedure Call Locator rundll32.exe reg678.dll
Program in Windows %system%\iexplore.exe
5. 瀏覽到註冊鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
6. 在右窗格中,刪除值:
run RAVMOND.EXE
7. 瀏覽到註冊鍵:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
8. 在右窗格中,雙擊默認值。
9. 刪除當前值,代之以適合你 Windows 版本的正確值。
注意:這個值可依 Windows 版本,並且在某些系統上依據安裝路徑不同而不同。 你需要到另外一台設定相同並工作正常的計算機察看後輸入這個值。一般的情況是:
* Windows 98: C:\Windows\Notepad.exe %
* Windows NT and 2000: %SystemRoot%\system32\NOTEPAD.EXE %1
10. 退出註冊表編輯器。
描述者: Eric Chien
