科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Lovgate查杀技巧:W32.Lovgate@mm系列病毒查杀技巧总结

Lovgate查杀技巧:W32.Lovgate@mm系列病毒查杀技巧总结

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Lovgate查杀技巧:W32.Lovgate@mm系列病毒查杀技巧总结

来源:网络转载 2009年4月16日

关键字: Lovgate Lovgate专杀 Lovgate查杀 Lovgate手动查杀

  • 评论
  • 分享微博
  • 分享邮件

  鉴于最近病毒活动十分猖獗,现将其中传播/破坏性较强、感染范围较广的变种W32.Lovgate.R总结如下——

  病毒名:W32.Lovgate.R@mm

  该病毒发现于2004年4月5日

  描述最近更新于2004年4月27日

  Symantec划定其危险等级为2级

  W32.Lovgate.R@mm是W32.Lovgate@mm的变种之一,是一种蠕虫病毒,

  具有电子邮件群发性质,可以用多变的电子邮件形式将自身传播到其他计算机。

  W32.Lovgate.R@mm由C 编写,实行了JDPack和ASPack压缩。

  别名:W32/Lovgate.x@MM [McAfee], I-Worm.LovGate.w [Kaspersky]

  国内的金山公司将Lovgate系列病毒命名为Supnot系列

  感染长度:128,000字节——即125KB

  受威胁的操作系统:Windows 95/98/Me/NT/2000/XP免疫的操作系统:DOS,Linux,Macintosh,OS/2,UNIX,Windows 3.×

  Symantec 公司的 Norton AntiVirus 产品 2004年4月5日 之后的病毒定义对该病毒有效

  部分主要技术参数:

  [注意:其中的特征可以作为判定感染病毒的依据!破折号是需特别注意的]

  当W32.Lovgate.R@mm病毒被激活时,会出现如下症状——

  (1)病毒将自身复制到

  %Windir%\Systra.exe

  %System%\Hxdef.exe

  %System%\iexplore.exe —— 注意区别于IE浏览器的iexplore.exe

  %System%\RAVMOND.exe —— 这个文件名易被误认作是瑞星杀毒软件的组件名

  %System%\Kernel66.dll —— 该文件具有只读、隐藏和系统属性

  %System%\WinHelp.exe

  其中%Windir% 为 WINNT 目录(Windows2000系统)或 WINDOWS 目录(WindowsXP系统),

  %System% 为 %Windir% 目录下的 system32 目录。

  (2)创建后门/木马组件

  %System%\ODBC16.dll

  %System%\Msjdbc11.dll

  %System%\MSSIGN30.DLL

  %System%\LMMIB20.DLL

  这些文件都具有 53,760 字节的长度。

  (3)创建文件

  %System%\NetMeeting.exe —— 易混淆于Windows的NetMeeting程序组件

  %System%\spollsv.exe —— 易混淆于Windows的打印池/打印进程spoolsv.exe

  这些文件具有 61,440 字节的长度。

  (4)对注册表的操作

  将键值

  “Hardware Profile“=“%System%\hxdef.exe

  “Microsoft NetMeeting Associates, Inc.“=“NetMeeting.exe“

  “Program in Windows“=“%System%\IEXPLORE.EXE“

  “Protected Storage“=“RUNDLL32.EXE MSSIGN30.DLL ondll_reg“

  “Shell Extension“=“%System%\spollsv.exe“

  “VFW Encoder/Decoder Settings“=“RUNDLL32.exe MSSIGN30.DLL ondll_reg“

  “WinHelp“=“%System%\WinHelp.exe“

  添加到位置

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  将键值

  “SystemTra“=“%Windir%\Systra.exe“

  添加到位置

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

  将键值

  “run“=“RAVMOND.exe“

  添加到位置

  HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

  可能生成

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1

  上述注册表操作使得病毒可以在各种受感染的操作系统启动时自动运行。

  (5)对进程的操作

  终止下列服务——

  Rising Realtime Monitor Service

  Symantec Antivirus Server

  Symantec Client

  新建服务——

  “Windows Management Protocol v.0 (experimental)“

  映射到“Rundll32.exe msjdbc11.dll ondll_server“

  新建服务——

  “_reg“映射到“Rundll32.exe msjdbc11.dll ondll_server“

  终止含有下列字符串的进程——

  KV;KAV;Duba;NAV;kill;RavMon.exe;Rfw.exe;Gate;McAfee;Symantec;SkyNet;rising

  (6)运行后门程序

  在计算机的6000端口运行后门程序,

  该程序窃取计算机信息并存储于C:\Netlog.txt,

  并由蠕虫以电子邮件形式发送给攻击者。

  (7)在局域网中传播

  以下列文件名将自身复制到网络共享文件夹和子文件夹中——

  WinRAR.exe

  Internet Explorer.bat

  Documents and Settings.txt.exe

  Microsoft Office.exe

  Windows Media Player.zip.exe

  Support Tools.exe

  WindowsUpdate.pif

  Cain.pif

  MSDN.ZIP.pif

  autoexec.bat

  findpass.exe

  client.exe

  i386.exe

  winhlp32.exe

  xcopy.exe

  mmc.exe

  注意:如果计算机设置为隐藏已知类型文件的扩展名(默认设置),

  则上述文件更具有欺骗性,容易误操作导致病毒激活!

  扫描局域网上的所有计算机,用Administrator用户名和一组简单密码,

  密码列表见本版精华区Symantec的技术资料。

  如果病毒成功登录远程计算机,它将会把自身复制到

  \\<远程计算机名>\Admin$\system32\NetManager.exe

  并将该程序启动为名为“Windows Management NetWork Service Extensions“的服务。

  (8)一些本地操作

  向 Explorer.exe 或 Taskmgr.exe 注入一个进程,

  该进程会在蠕虫病毒未运行或者被删除时尝试复制自身并运行。

  在一个随机的端口打开本地计算机的 FTP 服务,并且不设置身份验证。

  建立一个网络共享名“Media“指向“%Windir%\Media“。

  在所有硬盘驱动器分区和可写入的移动存储设备的根目录下生成

  文件名为

  WORK;setup;Important;bak;letter;pass

  扩展名为

  RAR;ZIP

  的压缩文件,

  其中包含

  文件名为

  WORK;setup;Important;book;email;PassWord

  扩展名为

  exe;com;pif;scr

  的病毒副本。

  注意:上面这点是该病毒最显著的特征,这些文件具有相同的 125K 大小。

  在所有硬盘驱动器分区和可写入的移动存储设备的根目录下生成 Autorun.inf,

  并将自身复制为同路径下的 Command.com,这将导致双击驱动器无法进入并激活病毒。

  注意:上面这点是该病毒的另一显著特征。

  扫描所有驱动器并试图将 .exe 文件更名为同名的 .zmx 文件,

  再将病毒体本身复制为原先的 .exe 文件。

  注意:上面这点也是该病毒很显著的特征。

  (9)对外传播

  试图通过TCP的135端口,以及微软的DCOM RPC漏洞(MS03-026)向外传播。

  自动带毒回复所有到达本地的电子邮件,通过诸如 Outlook 的工具。

  在本地计算机自动搜索电子邮件地址并通过病毒本身的SMTP服务器发送带毒邮件。

  判别方法:

  感染 W32.Lovgate.R@mm 的比较显著的特征——

  出现125K大小的不明来源的压缩包;

  双击无法进入驱动器,可能提示 Command 错误;

  在存放 .exe 文件的目录下出现 .zmx 文件;

  Outlook等电子邮件客户端自动发送信息等……

  杀毒方法:

  Symantec公司提供了一款专杀工具 —— FixLGate.com

  此专杀工具针对 W32.Lovgate.R@mm 以及 W32.Lovgate.[A-L]@mm,

  使用此工具时请注意下列问题——

  (1)如果操作系统是 Windows Me 或者 Windows XP,关闭系统还原功能;

  (2)启动计算机到安全模式(开机时按 F8 出现选单);

  (3)进入安全模式后不要进行双击操作,要以 右键--打开 代替;

  (4)最好是在断开网络的情况下进行操作。

  也可以使用更新了病毒定义的 Norton AntiVirus 系列产品来杀毒,注意事项同上。

  杀毒后请尽快连接到 WindowsUpdate 网站进行更新,

  确保计算机已经安装了所有检测到的关键更新。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章