科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Lovgate查杀技巧:LOVGATE(爱情后门)专杀工具

Lovgate查杀技巧:LOVGATE(爱情后门)专杀工具

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Lovgate查杀技巧:LOVGATE(爱情后门)专杀工具

来源:网络转载 2009年4月16日

关键字: Lovgate Lovgate专杀 Lovgate查杀 Lovgate手动查杀

  • 评论
  • 分享微博
  • 分享邮件

  病毒特征:

  1.d,e,f,g盘不能双击打开,硬盘驱动器根目录下存在Autorun.inf

  2.在每个硬盘驱动器根目录下存在很多.zip和.rar压缩文件,文件名多为pass,work,insta

  ll,letter,大小约为126K

  3.在每个硬盘驱动器根目录下存在COMMAND.EXE

  4.hxdef.exe,IEXPLORE.EXE,NetManager.exe,NetMeeting.exe,WinHelp.exe等进程占

  用了cpu.

  5有可能出现rpc关闭也倒计时重启的现象

  6.瑞星杀毒后出现Windows无法找到COMMAND.EXE文件,要求定位该文件.

  7.在任务管理器上看到多个cmd.exe进程.

  病毒技术:

  I-Worm.supnot.w分析报告

  作者:北信源咨讯 来自:北信源 时间:2004-4-8

  一,[病毒特征]:

  1,病毒英文名:I-Worm.supnot.w

  2,病毒中文名:爱情后门

  3,病毒 大小 :125K

  二,[病毒分析]:

  该病毒为爱情后门病毒的最新变种.大小约为125K,采用ASPACK2.12压缩.

  病毒被执行以后在system目录下生成了以下文件

  hxdef.exe

  ravmond.exe

  iexplore.exe

  kernel66.dll

  odbc16.dll

  msjdbc11.dll

  MSSIGN30.DLL

  spollsv.exe

  NetMeeting.exe

  a

  在windows目录下生成:

  SYSTRA.EXE

  在每个分区根根目录下生成以下文件:

  bak.rar

  bak.zip

  install.rar

  install.zip

  letter.rar

  letter.zip

  pass.rar

  pass.zip

  setup.rar

  setup.zip

  work.rar

  work.zip

  autorun.inf

  command.exe

  在被执行的病毒文件所在的目录下会生成以下文件:

  results.txt

  win2k.txt-----当当前系统是windows2000时产生

  winxp.txt-----当当前系统是windows XP时产生

  写以下注册表项:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

  Windows\CurrentVersion\Run]

  "Hardware Profile"="%Windir%\\System32\\hxdef.exe"

  "VFW Encoder/Decoder Settings"="

  RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

  "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"

  "Program In Windows"="%Windir%\\System32\\IEXPLORE.EXE"

  "Shell Extension"="%Windir%\\System32\\spollsv.exe"

  "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

  Windows\CurrentVersion\runServices]

  "SystemTra"="%Windir%\\SysTra.EXE"

  添加以下服务:

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg]

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

  Windows Management Protocol v.0 (experimental)]

  病毒自带FTP服务器端,它会在15436端口提供一个FTP服务,这样病毒就可以通过建

  立一个文本方式的下载脚本文件来从被感染计算机上下载病毒可执行文件.病毒会利用共

  享

  方式进行传播,共享传播主要通过netmeeting.exe来进行,它会扫描网络内的共享资源,

  并

  尝试将自身复制到远程共享.

  病毒会使用windows的程序CMD.EXE写文本文件a,内容如下:

  open 127.0.0.1 15436

  ftp

  ftp

  bin

  get hxdef.exe

  bye

  并使用该文件来下载病毒可执行文件,病毒会不停调用cmd.exe程序,由于cmd.exe

  为

  隐藏运行,用户可以在进程管理器中看到1个以上的cmd.exe进程.

  病毒还自带SMTP引擎,它将使用该引擎向从被感染计算机上搜集到的电子邮件地址发送带

  病

  毒附件的垃圾邮件,邮件内容如下:

  发件人:从搜索到的电子邮件地址中随机获取

  收件人:从搜索到的电子邮件地址中随机获取

  主题:

  正文:

  附件:大小125K左右,扩展名为以下类型的文件:

  .exe

  .scr

  .pif

  .cmd

  .bat

  .zip

  .rar

  病毒会尝试感染网络中的共享资源(探测网络内计算机的135,139,445等端口),当

  发现有可写的共享资源时,病毒会将自己的副本写入该共享,如果病毒探测到被感染计算

  机

  的有权限用户的弱口令(使用自带的密码库),病毒会远程将病毒执行起来达到网络传染

  的

  目的.

  病毒会搜索本地除了系统盘以外的所有分区上的EXE文件并尝试将其扩展名改为.zmx

  ,并将属性设置为隐藏+系统,然后将病毒的副本复制到EXE文件所在目录病毒将名称改为

  该

  EXE的名称.另外病毒也会将自身的副本随机复制到任意目录当中(名称主要有自带的列表

  和从被感染计算机上搜索到的EXE文件名两种,自带的文件名列表略).

  解决方法:

  建议关闭网络共享,改一个强健的管理员密码.

  用以下的专杀:

  http://bbs.whnet.edu.cn/upload/FixLGate.com

  ==============如果杀毒完毕存在这样的问题:===========

  =

  ========

  d,e,f,g盘(如果有的话)双击不能直接打开,说Windows无法找到COMMAND.EXE文件,

  要

  求定位该文件,定位为C:\windows\explorer之后每次打开会提示"/StartExplorer"出错

  ,然后依然能打开驱动器文件夹.

  ==============这是杀毒软件没有搞定,留下的后遗症========

  =

  =

  解决方法参见本版3238贴,内容如下:

  病毒在你的每个驱动器下面写入了一个AutoRun.inf文件内容为:

  open="X:\command.exe" /StartExplorer X为驱动器盘符

  所以,如果你没有杀毒,每次点开/D/E/F/G盘都会激活病毒

  瑞星比较笨不会帮你搞定这个问题(就算升级到最新版也没有用,瑞星网站上专杀也无法

  解

  决,且无相关说明),需要自己手工解决.

  解决方法如下(以D盘为例):

  ===================

  开始

  运行

  cmd(打开命令提示符)

  D:

  dir /a (没有参数A是看不到的,A是显示所有的意思)

  此时你会发现一个autorun.inf文件,约49字节

  attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统,只读,隐藏属性,否则无法

  删除

  del autorun.inf

  del autorun.inf

  到这里还没完,因为你双击了D盘盘符没有打开却得到一个错误.要求定位command.exe,

  这

  个时候自动运行的信息已经加入注册表了.下面清除注册表中相关信息:

  开始

  运行

  regedit

  编辑

  查找

  command.exe

  找到的第一个就是D盘的自动运行,删除整个shell子键

  完毕,双击D盘,是不是可以打开了?

  =====================

  重复以上操作数次,解决其他驱动器的问题,注册表中的信息是在一起的,在删除D盘

  Shell\Open\Autorun的时候顺便都删除了吧.

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章