Lovgate查杀技巧：W32.Lovgate@mm系列病毒查杀技巧总结

　　鉴于最近病毒活动十分猖獗，现将其中传播/破坏性较强、感染范围较广的变种W32.Lovgate.R总结如下——

　　病毒名：W32.Lovgate.R@mm

　　该病毒发现于2004年4月5日

　　描述最近更新于2004年4月27日

　　Symantec划定其危险等级为2级

　　W32.Lovgate.R@mm是W32.Lovgate@mm的变种之一，是一种蠕虫病毒，

　　具有电子邮件群发性质，可以用多变的电子邮件形式将自身传播到其他计算机。

　　W32.Lovgate.R@mm由C 编写，实行了JDPack和ASPack压缩。

　　别名：W32/Lovgate.x@MM [McAfee], I-Worm.LovGate.w [Kaspersky]

　　国内的金山公司将Lovgate系列病毒命名为Supnot系列

　　感染长度：128,000字节——即125KB

　　受威胁的操作系统：Windows 95/98/Me/NT/2000/XP免疫的操作系统：DOS,Linux,Macintosh,OS/2,UNIX,Windows 3.×

　　Symantec 公司的 Norton AntiVirus 产品 2004年4月5日 之后的病毒定义对该病毒有效

　　部分主要技术参数：

　　[注意：其中的特征可以作为判定感染病毒的依据!破折号是需特别注意的]

　　当W32.Lovgate.R@mm病毒被激活时，会出现如下症状——

　　(1)病毒将自身复制到

　　%Windir%\Systra.exe

　　%System%\Hxdef.exe

　　%System%\iexplore.exe —— 注意区别于IE浏览器的iexplore.exe

　　%System%\RAVMOND.exe —— 这个文件名易被误认作是瑞星杀毒软件的组件名

　　%System%\Kernel66.dll —— 该文件具有只读、隐藏和系统属性

　　%System%\WinHelp.exe

　　其中%Windir% 为 WINNT 目录(Windows2000系统)或 WINDOWS 目录(WindowsXP系统)，

　　%System% 为 %Windir% 目录下的 system32 目录。

　　(2)创建后门/木马组件

　　%System%\ODBC16.dll

　　%System%\Msjdbc11.dll

　　%System%\MSSIGN30.DLL

　　%System%\LMMIB20.DLL

　　这些文件都具有 53,760 字节的长度。

　　(3)创建文件

　　%System%\NetMeeting.exe —— 易混淆于Windows的NetMeeting程序组件

　　%System%\spollsv.exe —— 易混淆于Windows的打印池/打印进程spoolsv.exe

　　这些文件具有 61,440 字节的长度。

　　(4)对注册表的操作

　　将键值

　　“Hardware Profile“=“%System%\hxdef.exe

　　“Microsoft NetMeeting Associates, Inc.“=“NetMeeting.exe“

　　“Program in Windows“=“%System%\IEXPLORE.EXE“

　　“Protected Storage“=“RUNDLL32.EXE MSSIGN30.DLL ondll_reg“

　　“Shell Extension“=“%System%\spollsv.exe“

　　“VFW Encoder/Decoder Settings“=“RUNDLL32.exe MSSIGN30.DLL ondll_reg“

　　“WinHelp“=“%System%\WinHelp.exe“

　　添加到位置

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　将键值

　　“SystemTra“=“%Windir%\Systra.exe“

　　添加到位置

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

　　将键值

　　“run“=“RAVMOND.exe“

　　添加到位置

　　HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

　　可能生成

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1

　　上述注册表操作使得病毒可以在各种受感染的操作系统启动时自动运行。

　　(5)对进程的操作

　　终止下列服务——

　　Rising Realtime Monitor Service

　　Symantec Antivirus Server

　　Symantec Client

　　新建服务——

　　“Windows Management Protocol v.0 (experimental)“

　　映射到“Rundll32.exe msjdbc11.dll ondll_server“

　　新建服务——

　　“_reg“映射到“Rundll32.exe msjdbc11.dll ondll_server“

　　终止含有下列字符串的进程——

　　KV;KAV;Duba;NAV;kill;RavMon.exe;Rfw.exe;Gate;McAfee;Symantec;SkyNet;rising

　　(6)运行后门程序

　　在计算机的6000端口运行后门程序，

　　该程序窃取计算机信息并存储于C:\Netlog.txt，

　　并由蠕虫以电子邮件形式发送给攻击者。

　　(7)在局域网中传播

　　以下列文件名将自身复制到网络共享文件夹和子文件夹中——

　　WinRAR.exe

　　Internet Explorer.bat

　　Documents and Settings.txt.exe

　　Microsoft Office.exe

　　Windows Media Player.zip.exe

　　Support Tools.exe

　　WindowsUpdate.pif

　　Cain.pif

　　MSDN.ZIP.pif

　　autoexec.bat

　　findpass.exe

　　client.exe

　　i386.exe

　　winhlp32.exe

　　xcopy.exe

　　mmc.exe

　　注意：如果计算机设置为隐藏已知类型文件的扩展名(默认设置)，

　　则上述文件更具有欺骗性，容易误操作导致病毒激活!

　　扫描局域网上的所有计算机，用Administrator用户名和一组简单密码，

　　密码列表见本版精华区Symantec的技术资料。

　　如果病毒成功登录远程计算机，它将会把自身复制到

　　\\<远程计算机名>\Admin$\system32\NetManager.exe

　　并将该程序启动为名为“Windows Management NetWork Service Extensions“的服务。

　　(8)一些本地操作

　　向 Explorer.exe 或 Taskmgr.exe 注入一个进程，

　　该进程会在蠕虫病毒未运行或者被删除时尝试复制自身并运行。

　　在一个随机的端口打开本地计算机的 FTP 服务，并且不设置身份验证。

　　建立一个网络共享名“Media“指向“%Windir%\Media“。

　　在所有硬盘驱动器分区和可写入的移动存储设备的根目录下生成

　　文件名为

　　WORK;setup;Important;bak;letter;pass

　　扩展名为

　　RAR;ZIP

　　的压缩文件，

　　其中包含

　　文件名为

　　WORK;setup;Important;book;email;PassWord

　　扩展名为

　　exe;com;pif;scr

　　的病毒副本。

　　注意：上面这点是该病毒最显著的特征，这些文件具有相同的 125K 大小。

　　在所有硬盘驱动器分区和可写入的移动存储设备的根目录下生成 Autorun.inf，

　　并将自身复制为同路径下的 Command.com，这将导致双击驱动器无法进入并激活病毒。

　　注意：上面这点是该病毒的另一显著特征。

　　扫描所有驱动器并试图将 .exe 文件更名为同名的 .zmx 文件，

　　再将病毒体本身复制为原先的 .exe 文件。

　　注意：上面这点也是该病毒很显著的特征。

　　(9)对外传播

　　试图通过TCP的135端口，以及微软的DCOM RPC漏洞(MS03-026)向外传播。

　　自动带毒回复所有到达本地的电子邮件，通过诸如 Outlook 的工具。

　　在本地计算机自动搜索电子邮件地址并通过病毒本身的SMTP服务器发送带毒邮件。

　　判别方法：

　　感染 W32.Lovgate.R@mm 的比较显著的特征——

　　出现125K大小的不明来源的压缩包;

　　双击无法进入驱动器，可能提示 Command 错误;

　　在存放 .exe 文件的目录下出现 .zmx 文件;

　　Outlook等电子邮件客户端自动发送信息等……

　　杀毒方法：

　　Symantec公司提供了一款专杀工具 —— FixLGate.com

　　此专杀工具针对 W32.Lovgate.R@mm 以及 W32.Lovgate.[A-L]@mm，

　　使用此工具时请注意下列问题——

　　(1)如果操作系统是 Windows Me 或者 Windows XP，关闭系统还原功能;

　　(2)启动计算机到安全模式(开机时按 F8 出现选单);

　　(3)进入安全模式后不要进行双击操作，要以 右键--打开 代替;

　　(4)最好是在断开网络的情况下进行操作。

　　也可以使用更新了病毒定义的 Norton AntiVirus 系列产品来杀毒，注意事项同上。

　　杀毒后请尽快连接到 WindowsUpdate 网站进行更新，

　　确保计算机已经安装了所有检测到的关键更新。