當病毒運行時,將自己複製到windows目錄下自己分別複製到system目錄下,檔案名稱為WinGate.exe,WinDriver.exe,Winhelp.exe,Winrpc.exe,RavMond.exe,Iexplore.exe 並在註冊表run項中加入自身鍵值。病毒利用ntdll提供的api找到LSASS進程,並對其殖入遠程後門代碼。
基本介紹
- 外文名:Worm.Lovgate.h
- 知識庫編號:RSV0512257
- 內容分類:蠕蟲病毒
- 適用作業系統:Windows 作業系統
基本信息,傳播過程,
基本信息
“愛情後門II”(Worm.Lovgate.h)病毒檔案
關鍵字: 愛情後門;Worm.Lovgate.h
適用作業系統補丁版本:全部補丁適用
“愛情後門II”(Worm.Lovgate.h)病毒檔案
病毒評估
警惕程度:★★★★
發作時間:隨機
傳播方式:網路/郵件
運行環境: WINDOWS 95/98/ME/NT/2000/XP
感染對象:硬碟資料夾
病毒介紹
(該代碼,將回響用戶tcp請求建方一個遠程shell進程。win9x為command.com,NT,WIN2K,WINXP 為cmd.exe)之後病毒將自身複製到windows目錄並嘗試在win.ini中加入run=RAVMOND.EXE。並進入傳播流程。
傳播過程
1.密碼試探攻擊:
病毒利用ipc進行guest和Administrator賬號的多個簡單密碼試探。(使用如12345678,abcdef,888888)
如果成功病毒將嘗試將自己複製到遠程系統並試圖註冊成服務。
2.放出後門程式:
病毒從自身體內放出一個dll檔案負責建立遠程shell後門。(連線埠1092)
病毒本身將自己注入到lsass進程中,並建立20168連線埠的shell後門
3.盜用密碼:
盜取用戶密碼,並傳送到指個信箱
4.區域網路傳播:
病毒窮舉網路資源,並將自己複製過去。檔案名稱為隨機的選取,病毒體內的檔案名稱
有以下幾種可能
the hardcore game-.pif,Shakira.zip.exe,
dreamweaver MX (crack).exe,StarWars2 - CloneAttack.rm.scr,DSL Modem Uncapper.rar.exe
joke.pif,I am For u.doc.exe,s3msong.MP3.pif.....等
5.郵件地址搜尋執行緒
病毒啟動一個執行緒通過註冊表
Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders得到系統目錄
並搜尋*.ht*中的email地址。用以進行郵件傳播。
6.發郵件
病毒利用mapi及搜出的email地址,進行郵件傳播。
郵件標題隨機從病毒體內選出
Hi Dear,Great,Last Update,Patrick Ewing will give Knick fans something to cheer about
Adult content!!! Use with parental advisory.,Friday night.
....
7.郵件通知病毒作者
當病毒被運行後每一段間隔傳送一次通知郵件給位於163.com的一個信箱。郵件的標題是xyz123xyz123
內容為中毒系統的ip地址,以便利用病毒的後門進行控制。
解決方案
1、瑞星防毒軟體15.27.01以後版本都可查殺該病毒,瑞星用戶請升級到最新版本可以攔截此病毒
相關連結
“愛情後門”(Worm.Lovgate)病毒專殺工具(For Windows 平台)下載連結:http://it.rising.com.cn/service/technology/RS_LovGate_download.htm
